当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014239

漏洞标题:无意发现淘宝网bug导致可以刷信誉

相关厂商:淘宝网

漏洞作者: Cr_Guest

提交时间:2012-11-02 18:36

修复时间:2012-11-07 18:37

公开时间:2012-11-07 18:37

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-02: 细节已通知厂商并且等待厂商处理中
2012-11-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在淘宝网充值话费时发现的,导致交易未成功,也能得到信誉值。
不知道能不能利用此bug疯狂的刷信誉。。。。。。
我承认写的有点乱了,大家撮合着看吧。! ^_^

详细说明:

购买充值后,是使用担保形式交易的。。

111111.jpg


我直接付款,待店家发货后,我就点击了确认收货,并且双方可以进行互评了。
显示交易成功,并且可以进行评价时,在我准备评价时,店家找我说他店木有20元面值的了,叫我申请退款。。。

3333.jpg


444444.jpg


在申请售后,并且退款成功后,并且还能进行评价,店家仍然能得到信誉值。

55555.jpg


66666.jpg


777777.jpg


88888.jpg


在截图过程中,有利用到别的店铺的商品信息,可能会对应不到,大家可以去尝试!^_^

漏洞证明:

222222.jpg


333333.jpg


44444.jpg


555555.jpg


修复方案:

只是发现,至少怎么修复,我还真不知道。。

版权声明:转载请注明来源 Cr_Guest@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-11-07 18:37

厂商回复:

最新状态:

暂无