当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041321

漏洞标题:京东某活动逻辑缺陷导致可刷京豆

相关厂商:京东商城

漏洞作者: 我真的不帅

提交时间:2013-10-29 15:55

修复时间:2013-12-13 15:56

公开时间:2013-12-13 15:56

漏洞类型:网络设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-29: 细节已通知厂商并且等待厂商处理中
2013-10-30: 厂商已经确认,细节仅向厂商公开
2013-11-09: 细节向核心白帽子及相关领域专家公开
2013-11-19: 细节向普通白帽子公开
2013-11-29: 细节向实习白帽子公开
2013-12-13: 细节向公众公开

简要描述:

某活动逻辑缺陷导致可刷钱

详细说明:

http://sale.jd.com/act/VCmd4BsWhaF.html
这个活动,会有一个抽奖,ajax请求,没有做严格的逻辑验证,在一定时间内持续请求就可以刷京豆,10,50个豆豆不等,虽然只是一毛,五毛的,不过如果被人发现了,未必不会注册N*100个新账号,刷出豆豆,然后购买QQ币等之类的东西洗钱,个人认为刷个几千上万块的还是很轻松的,我只是刷了几毛钱,就不要跨我省了

漏洞证明:

http://sale.jd.com/act/VCmd4BsWhaF.html
这是活动地址,在打老虎结束以后,点击红盒子的时候,会发出请求,
http://csc.jd.com/log.ashx?type1=d&type2=c&pin=username&uuid=1910228888&sid=1910228888|5&referrer=-&jinfo=UA-J2011-1||1||32-bit||1920x1080||zh-cn||UTF-8||%E6%89%93%E8%80%81%E8%99%8E%E6%B8%B8%E6%88%8F-%E5%8A%A8%E7%94%BB%E6%B8%B8%E6%88%8F%20-%20%E4%BA%AC%E4%B8%9C%E5%95%86%E5%9F%8E||sale.jd.com||11.9%20r900||win||chrome||31.0.1613.0||1378130301||1382711431||1382970979||5||9||direct||-||none||-||637||T63;&data=-%7C%7C%7C1666x598%7C%7C%7C1903x2319&callback=jQuery162017442319355977056_1382972595643&_=13829728957766
用firebug抓了,copy as curl ,扔出去批量跑就OK了
jsonpSuccess({"data":{"chances":12,"created":"2013-10-28 23:04:16","pass":true,"prizeDayId":525,"prizeId":64,"prizeName":"京豆50","prizeType":5,"promptMsg":"4","userPin":"*****","winner":true},"responseCode":"0000","responseMessage":"request_success"})
就这样,拿到了5毛钱。。

修复方案:

本来我以为你们后台会做验证的,不过晚上发现白天顺手测的到了9毛钱,就知道后台没有限制了,后台还是做个记录,当前用户今天一共幸运地抓到了上限(比如2元),然后凡是达到上限的,直接返回抽取不获奖就OK了

版权声明:转载请注明来源 我真的不帅@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-10-30 14:31

厂商回复:

之前该方法已知晓,感谢支持

最新状态:

暂无