漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0114234
漏洞标题:酷配网盲打后台可冻结、重置10W+买卖家密码
相关厂商:酷配网
漏洞作者: 千斤拨四两
提交时间:2015-05-15 12:41
修复时间:2015-06-29 12:42
公开时间:2015-06-29 12:42
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
运营方广东酷配电子商务有限公司,旗下拥有酷配网、华南国际汽配城、广东酷配科技有限公司(深圳)、炜文实业投资有限公司。酷配网创建于2010年,前期投入资金10亿元,团队具备多年汽配专业市场运营经验,拥有众多互联网精英及汽车后市场专业人才,经过数年发展,已成为国内最具影响力的汽车后市场电商平台[1] 。2011年获得中国互联网络信息中心(CNNIC)授予的“可信网站示范单位”称号,2013年被评为“中国汽车后市场最具影响力电子商务平台
详细说明:
0x1:前段有框框,这养成的毛病,是见框框就插,碰碰运气。
在标题框中插入code提交之后就等待cookie吧!
饼干到了,投诉建议的接口竟然没有验证身份,不过没关系有管理员的cookie还是可以访问后台的!
漏洞证明:
0x2:现在有了cookie就登录后台吧,看到后台惊呆了各种卖家买家的信息,而且还有订单号耶,不过好像都是测试用的(不要查水表,我什么都没做)
买家的9W+买家1W+,这下子可好了!
修复方案:
挖洞不易,求给良心rank,呜呜~~~~~
过滤敏感字符,净化参数!
版权声明:转载请注明来源 千斤拨四两@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)