京东商城一个csrf商家可以刷关注 | wooyun-2013-033610| WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞标题：京东商城一个csrf商家可以刷关注

提交时间：2013-08-06 13:31

修复时间：2013-09-20 13:31

公开时间：2013-09-20 13:31

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-08-06：细节已通知厂商并且等待厂商处理中
2013-08-07：厂商已经确认，细节仅向厂商公开
2013-08-17：细节向核心白帽子及相关领域专家公开
2013-08-27：细节向普通白帽子公开
2013-09-06：细节向实习白帽子公开
2013-09-20：细节向公众公开

简要描述：

京东商城一个csrf

详细说明：

由于京东用户数量巨大，且还有第三方商家平台
导致任何一个业务问题都可能对用户造成不小的影响
而且京东cookies是保存比较长时间的，那么一个小小的get的csrf可能会让很多用户中招
对于某厂商的商品降价后还会有短消息提示，以厂商为例就可以去其他网站或者微博发送csrf
http://t.jd.com/product/followProduct.action?productId=934543&t=0.0032420307736847898

漏洞证明：

修复方案：

该问题因该结合业务去看，不过单纯技术来看也会对用户造成一定影响，很多时候csrf直接在某处以图片img形式触发，影响会有一点

版权声明：转载请注明来源小胖胖要减肥@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2013-08-07 10:20

厂商回复：

非常感谢您对京东的关注！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-033610

漏洞标题：京东商城一个csrf商家可以刷关注

相关厂商：京东商城

漏洞作者：小胖胖要减肥

提交时间：2013-08-06 13:31

修复时间：2013-09-20 13:31

公开时间：2013-09-20 13:31

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源小胖胖要减肥@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-033610

漏洞标题：京东商城一个csrf商家可以刷关注

相关厂商：京东商城

漏洞作者： 小胖胖要减肥

提交时间：2013-08-06 13:31

修复时间：2013-09-20 13:31

公开时间：2013-09-20 13:31

漏洞类型：CSRF

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-033610"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 小胖胖要减肥@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：小胖胖要减肥

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源小胖胖要减肥@乌云