当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041681

漏洞标题:百阅网平行权限可导致大量用户信息泄漏和订单取消

相关厂商:百阅

漏洞作者: 大亮

提交时间:2013-11-01 16:16

修复时间:2013-12-16 16:16

公开时间:2013-12-16 16:16

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-12-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

百阅网平行权限可导致大量用户信息泄漏和订单别的用户取消,正好缺个水杯和烧水壶,送礼品的话就送这个吧

详细说明:

用chrome注册百阅网帐号A,用ie注册百阅网帐号B
然后A账户添加一个收货地址

1.jpg


然后执行修改操作,抓包,请求,查看参数,

2.jpg


然后用B账户添加收获地址,执行修改操作,将参数输入

3.jpg


点击B账户的修改操作,然后抓包,将A账户的参数id传入可得到以下结果

4.jpg


这时B可以对A的地址进行编辑,保存,然后添加到自己的收货地址中,然后当A查看自己的地址时,地址就会不见了

5.jpg


如果将参数的从1到n遍历一下的话,得到许多人的地址,呵呵,B账户可以添加网站内所有人地址了,呵呵
同样的操作方法还可以适用于删除操作
对于下了订单的两个人,如果订单未付款,可以取消被人的订单
同样的方法将A订单的id传入B正在取消订单时请求的id中,

10.jpg


那么B就可以取消A的下货订单,这个方法不错啊,哈哈

11.jpg


漏洞证明:

点击B账户的修改操作,然后抓包,将A账户的参数id传入可得到以下结果

4.jpg


这时B可以对A的地址进行编辑,保存,然后添加到自己的收货地址中,然后当A查看自己的地址时,地址就会不见了

5.jpg


11.jpg


修复方案:

增加权限验证,根据当前用户和订单的id 或者和地址的ID一起验证,或者用token

版权声明:转载请注明来源 大亮@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝