漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-062390
漏洞标题:360同城帮允许商户任意退出已参加活动
相关厂商:奇虎360
漏洞作者: H.East
提交时间:2014-05-26 16:45
修复时间:2014-07-10 16:46
公开时间:2014-07-10 16:46
漏洞类型:未授权访问/权限绕过
危害等级:低
自评Rank:1
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-26: 细节已通知厂商并且等待厂商处理中
2014-05-26: 厂商已经确认,细节仅向厂商公开
2014-06-05: 细节向核心白帽子及相关领域专家公开
2014-06-15: 细节向普通白帽子公开
2014-06-25: 细节向实习白帽子公开
2014-07-10: 细节向公众公开
简要描述:
当360同城帮商户参加了一个活动后,会在后台相应的商品查询界面显示一个活动的商品,但目前360并不提供相应的删除、下架操作,但是通过对某处进行修改,可制造出一个删除的按钮、下架的按钮,使得商家可任意删除并退出该活动。
详细说明:
当360同城帮商户参加了一个活动后,会在后台相应的商品查询界面显示一个活动的商品,但目前360并不提供相应的删除、下架操作,但是通过对某处进行修改,可制造出一个删除的按钮、下架的按钮,使得商家可任意删除并退出该活动。
漏洞证明:
首先进入商家后台,进入商品管理--商品查询中(我以报名19.9元重做系统为例,同城帮首页有),会发现并不提供删除按钮,这样我们营造出一个假的,根据查看源代码可以发现我的店铺该商品data-id为2965988,
然后我们查看下面其他有删除按钮的商品源码代码<a data-id="2880443" href="#" class="delete">删除</a>,
只要将其中的data-id修改为之前看到的id,即可删除该活动,并在首页不显示商家参与此活动。
同理,下架也可实行。
修复方案:
修复的很简单吧 ,要是允许商家自己删除的话,就加个删除键,不允许的话,就限制下吧!作为360同城帮店铺中的一员,希望360越来越好吧!
版权声明:转载请注明来源 H.East@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2014-05-26 17:13
厂商回复:
您好,感谢您对同城帮的关注,此为临时运营需求,不影响商家,我们会加上严格逻辑校验。
同时欢迎关注360安全应急响应中心,反馈相关问题我们会第一时间跟进处理。
最新状态:
暂无