当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06409

漏洞标题:淘宝网:普通旺旺号能够使用"来自商城评价",进行信用抄作行为

相关厂商:淘宝网

漏洞作者: 路人甲

提交时间:2012-04-26 18:05

修复时间:2012-05-01 18:06

公开时间:2012-05-01 18:06

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-04-26: 细节已通知厂商并且等待厂商处理中
2012-05-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

普通旺旺号购买商品成功交易后,能够使用商城评价,在评价前有个系统自带的"来自商城评价".在卖家信用评价展示上不显示积分,好评率!在历史信用构成上有信用积分!卖家利用此漏洞进行炒信行为!

详细说明:


漏洞证明:

旺旺评价例1:
http://rate.taobao.com/rate.htm?user_id=513654397&rater=1
http://rate.taobao.com/rate.htm?user_id=164801632&rater=1
http://rate.taobao.com/rate.htm?user_id=161711955&rater=1
炒信店铺例2:
http://rate.taobao.com/rate.htm?user_id=34904440
http://rate.taobao.com/rate.htm?user_id=159677514
http://rate.taobao.com/rate.htm?user_id=716416903

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-05-01 18:06

厂商回复:

最新状态:

暂无