漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-07745
漏洞标题:中国才储测试费用支付任意金额修改及敏感信息泄露
相关厂商:中国才储
漏洞作者: sinck
提交时间:2012-05-31 16:04
修复时间:2012-07-15 16:04
公开时间:2012-07-15 16:04
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-05-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-07-15: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
中国才储测试费用支付任意金额修改及敏感信息泄露
详细说明:
中国才储是一个人力资源服务相关的网站,包含有各项在线测试,如MBTI性格分析,职业性格测试啥的。
今天偶然想测试下自己的职业性格,完了需要付费,支付的时候顺手试了下,发现有比较严重的问题,如下:
1.支付金额任意修改,并且不影响支付成功的确认及后续服务的提供,花了1分钱买了原价5元的测试。问题出在且不仅仅这个url(因其在线测试不止一种):
http://www.apesk.com/mensa/js_asp_gb_juankuan_pdp/index001juankuan.asp?formlink=12&liangbiao=PDP
直接拿firebug把5.00改成0.01就可以了,没敢改0.00
2.需要付费才能察看的测试结果页除url和id外无任何验证,导致只要知道这个id和url就可以无限制的免费使用本来需要付费的测试
url在: http://www.apesk.com/mbti/submit_email_date.asp?user=315813
察看自己的测试结果只需改下id就OK
漏洞证明:
这个是改成1分钱的截图,其余由于问题已经很明确,就不多贴了,问题不复杂
修复方案:
1.对于支付金额进行校验
2.对于查询人的身份进行校验,比如查询后给带个key,只有查询后key正确且已经支付的测试id才能察看结果,防止未支付察看付费内容,也防止滥用查询察看他人测试结果(虽然设计隐私不大)。
版权声明:转载请注明来源 sinck@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝