当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045499

漏洞标题:拉手网任意订单密码以及用户信息存在泄漏风险(xss盲打后台)

相关厂商:拉手网

漏洞作者: D&G

提交时间:2013-12-10 15:51

修复时间:2014-01-24 15:51

公开时间:2014-01-24 15:51

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-10: 细节已通知厂商并且等待厂商处理中
2013-12-10: 厂商已经确认,细节仅向厂商公开
2013-12-20: 细节向核心白帽子及相关领域专家公开
2013-12-30: 细节向普通白帽子公开
2014-01-09: 细节向实习白帽子公开
2014-01-24: 细节向公众公开

简要描述:

xss进了个后台而已。权限比较大。。。。。厂商可以放心,没有导什么数据。截个图留了个念。
后台功能丰富,可以查看任意用户信息,重置密码。查看系统发出的短信,审核退款,当然订单密码也是必须的等等等等。应该是可以控制任意用户吧。

详细说明:

需要从昨晚上半夜起来买书说起,因为不记得当当的帐号了。就用微薄帐号登录了买书。发现我的微薄昵称出现在了当当的页面上。突然想到这个点会不会没有过滤。所以有了今天的下文。
修改自己的qq昵称为XSS代码。用qq空间的地方改,可以有36个字符。
然后用qq登录拉手网。可以成功获取cookie。然后发现因为是新号,没办法评论。发现有个反馈,只好试试盲打了~~~成功获取到cookie
cookie就不打码了。建议修改密码吧。

location : http://niu.lashou.com/user/User/feedBack
toplocation : http://niu.lashou.com/user/User/feedBack
cookie : ThinkID=5g826g7269f8llh4pj60k7r1o4; client_key=1375083406x7jp90c6c391e35bc17c6b; city_b=1085; __utma=1.1182504072.1375083471.1386581190.1386644403.103; __utmz=1.1386644403.103.81.utmcsr=niu.lashou.com|utmccn=(referral)|utmcmd=referral|utmcct=/trade/Trade/details/trade_no/7775310095w8fbd3265; view_goods=%7B%220%22%3A7889861%2C%221%22%3A7619727%2C%222%22%3A7340960%2C%223%22%3A7340960%2C%224%22%3A7507219%2C%225%22%3A7507219%2C%226%22%3A7811691%2C%227%22%3A7845877%2C%228%22%3A7596118%2C%229%22%3A7872413%2C%2210%22%3A7270577%2C%227775310%22%3A7775310%7D; s_word_list=%u7C73%u7F07%u8D1D%u8482%7C%u7C73%u5947%u8D1D%u8482%7C; login_name2=815995273%2540qq.com; session=uq4f21m4pnfu5oedli06t5bos7; __utmc=1


后面的就是权限实在是好大。吓尿了。。。

lashou2.png


lashou3.png


lashou6.png


lashou5.png


lashou8.png


lashou12.png


lashou11.png

漏洞证明:

lashou8.png

修复方案:

。。。求礼物~

版权声明:转载请注明来源 D&G@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:19

确认时间:2013-12-10 16:17

厂商回复:

感谢,已经告知开发修改漏洞。

最新状态:

暂无