当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-089221

漏洞标题:万达某站可登录及修改任意用户信息

相关厂商:大连万达集团股份有限公司

漏洞作者: s3xy

提交时间:2014-12-30 10:02

修复时间:2015-02-13 10:04

公开时间:2015-02-13 10:04

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-30: 细节已通知厂商并且等待厂商处理中
2014-12-30: 厂商已经确认,细节仅向厂商公开
2015-01-09: 细节向核心白帽子及相关领域专家公开
2015-01-19: 细节向普通白帽子公开
2015-01-29: 细节向实习白帽子公开
2015-02-13: 细节向公众公开

简要描述:

万达某站可登录及修改任意用户信息。涉及用户订单等信息。

详细说明:

问题在http://www.dagexing.com
我们用两个帐号来测试
首先是小号13988889999
个人信息如下(可以看到购物车有一个商品)

d1.png


然后登录大号

d2.png


下面开始正文。
在基本信息处提交并抓包,将mobile改成小号13988889999。

d3.png


可以看到,小号的各个功能信息都可以直接访问了。此处是购物车

d4.png


d5.png


确定与之前小号购物车内容相同。
小号的积分

d6.png


以及小号的投诉

d7.png


用户订单、用户宝贝等全部功能同样可直接访问。
那么就相当于可登录任意用户。

漏洞证明:

以上是修改后造成的越权访问问题。
同时在我们抓包修改时,小号的个人信息也被更改了。
我们上小号看看

d8.png


可以看到,用户名、性别、出生日期、地址已被更改为大号信息。
但是其它购买信息等未发生改变。

修复方案:

权限验证

版权声明:转载请注明来源 s3xy@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-12-30 18:21

厂商回复:

感谢s3xy同学的关注与贡献!此漏洞目测存在,马上通知业务整改!

最新状态:

暂无