WooYun.org

问题出在手机APP上。由于前段时间提交的漏洞都已修复，今天这个漏洞是修复后的产物。下面分三个部分来说明这个漏洞。第一部分：漏洞的影响；第二部分：猜测漏洞产生的原因；第三部分：漏洞如何利用。
第一部分：漏洞的影响
这个漏洞的影响可以说是前面已提六个APP漏洞的总和，也就是说可以越权为任意用户操作药房网APP所提供的几乎所有功能，包括查看、修改、新增、删除任意用户订单、收货地址、评论、咨询、收藏、购物车、个人信息等等。功能列表见下图

第二部分：猜测漏洞产生的原因
0x00:前面漏洞修复以前，药房网APP识别用户只用了用户id号，而id号是连续的且在请求中用明文传输，因此造成了越权。修复以后，又走了另一个极端，只用PHPSESSID作为用户的唯一标识，当然用随机生成的PHPSESSID本身没有问题，但是在PHPSESSID与用户关联时出了个奇葩问题。
0x01:下面分析一下用户正常登录的过程，第一步，输入用户名、密码，抓包信息如下图

0x02:登录成功以后，其APP又连续向服务器发了三个请求，下面分析三个请求中的第1、2个请求，请求内容如下图

问题的关键就在这两个get请求上了，登录以后，为什么还要再发这两个get请求呢？而且请求当中并没有发送用户的请求信息啊？目的是什么呢？仔细分析了个这两个请求，在请求的URL中发现了用户的id，然后请求的 cookie内容为PHPSESSID。猜想：难道该请求的作用是把用户id与PHPSESSID进行关联？后面经过测试证明猜想是正确的。
第三部分：漏洞如何利用
上面第二部分都分析到这种地地步了，如何利用应该很清楚了
利用步骤：成功登录自己的账号，然后抓取登录后APP自动发向服务器的两个请求，把请求url中的用户id号改为任意（目标）用户的id号（药房网的id号是连续增大的），你就可以完全控制了该目标用户的所有权限了。见下图