818医药网存在安全隐患可泄漏用户敏感信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-052110

漏洞标题：818医药网存在安全隐患可泄漏用户敏感信息

漏洞作者： monkey_cici

提交时间：2014-04-01 11:29

修复时间：2014-05-16 11:29

公开时间：2014-05-16 11:29

漏洞类型：敏感信息泄露

危害等级：中

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-04-01：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-05-16：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

818医药网存在安全隐患
在这里出一点微薄之力希望厂商注意安全别忽略了

详细说明：

1.用户可越权访问其他用户信息（用户资料外泄）
2.可购买官方没购买链接的商品
3.用户能输入的地方能填写的地方，过滤不完全，可绕过
可导致注入或者xss
这里没去进一步尝试希望加强过滤

漏洞证明：

1.此处是自己注册的马甲用户ID显示八十五万多证明有八十五万个地址或者用户

漏洞就在这里用户可越权访问也可以遍列id下载所有的用户资料危害很大
由于资料过于敏感这里停留在这一步没再进行其他操作

2.官方没有购买链接不想让用户直接购买
但是用户权限不严格导致可以购买任意商品

修复方案：

用户权限要加强，整站很多地方都要过滤过滤。你们比我更加专业！

版权声明：转载请注明来源 monkey_cici@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-052110

漏洞标题：818医药网存在安全隐患可泄漏用户敏感信息

相关厂商：818医药网

漏洞作者： monkey_cici

提交时间：2014-04-01 11:29

修复时间：2014-05-16 11:29

公开时间：2014-05-16 11:29

漏洞类型：敏感信息泄露

危害等级：中

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 monkey_cici@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-052110

漏洞标题：818医药网存在安全隐患可泄漏用户敏感信息

相关厂商：818医药网

漏洞作者： monkey_cici

提交时间：2014-04-01 11:29

修复时间：2014-05-16 11:29

公开时间：2014-05-16 11:29

漏洞类型：敏感信息泄露

危害等级：中

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-052110"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 monkey_cici@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：