漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-065106
漏洞标题:锤子手机预订数据可被分析
相关厂商:锤子科技(北京)有限公司
漏洞作者: 路人甲
提交时间:2014-06-16 10:22
修复时间:2014-07-31 10:24
公开时间:2014-07-31 10:24
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:5
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-16: 细节已通知厂商并且等待厂商处理中
2014-06-16: 厂商已经确认,细节仅向厂商公开
2014-06-26: 细节向核心白帽子及相关领域专家公开
2014-07-06: 细节向普通白帽子公开
2014-07-16: 细节向实习白帽子公开
2014-07-31: 细节向公众公开
简要描述:
锤子科技预订站点设计缺陷,导致预订数据泄露
详细说明:
锤子手机预订网站,订单配送地址ID设计成连续ID,可以通过查看最新的地址ID估算出预订数据。
漏洞证明:
模拟下一个订单,通过返回结果可以看到ID是73061:
目前一个订单地址上最多可以预订3个手机,同时考虑填写了完整订单以后还有少部分人未完成支付或者退款(还有像我这样蛋疼的每天加个地址看ID),2者因素抵消,可以近似估计出锤子手机预定量目前在7~8万之间。
通过每天监控该数据(每天都要看一次ID很辛苦的,我不是为了黑你,我只是认真),我们可以分析出很多有用信息:
比如预订第一天超3万,在过了一周以后,每天预订数量都是稳定在300~400之间,更多数据解读请自己分析。
修复方案:
将暴露出来的配送地址ID用非连续的,类似订单ID。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-06-16 19:17
厂商回复:
非常感谢!虽然不会直接泄露订单数据,但是这类情况也是需要规避的。我们会对类似的情况做统一的处理。
最新状态:
暂无