蜜淘某漏洞导致所有订单泄露并可任意打款（内部敏感账号与订单等系统泄漏）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0115154

漏洞标题：蜜淘某漏洞导致所有订单泄露并可任意打款（内部敏感账号与订单等系统泄漏）

漏洞作者：路人甲

提交时间：2015-05-20 14:55

修复时间：2015-07-04 14:56

公开时间：2015-07-04 14:56

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-20：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-07-04：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

最近在电梯里看够了那些无节操的图了

详细说明：

企业邮箱弱口令

mask 区域

*****@meta*****
*****zh12*****

该用户为 “数据支撑部总监”
所以邮箱中存在大量内部数据

漏洞证明：

Hi all：
昨天几个新系统上线，忘记给大家分享地址，抱歉。
1.新订单流水线： pipeline.beilou.com 账号是名字全拼，密码

mask 区域

*****45*****




（账号还未分配完毕，分配好后我会通知大家）
2.促销系统 ：promo.beilou.com 暂时还没有接入权限，可随时访问，请大家不要传给别人使用。
3.退款系统：refund.beilou.com 账号是名字全拼，密码



mask 区域

*****45*****





 还没有登录过VPN的同学：        
          VPN账号=自己姓名的拼音
          VPN默认密码是



mask 区域

*****800*****





客户满意中心的WiFi密码根据部门要求，暂不对外公布。
内部公共  ID：metao      修改后的密码为：



mask 区域

*****888*****




(MTO均为大写,e小写,数字888,密码后面有个小数点）
外部访客  ID：metaoguest 修改后的密码为：



mask 区域

*****Co*****




（WC大写）
技术专用  ID：haitao     技术用时找我加入Mac地址
Hi 张虹：
     如下是统计数据库信息，请查收，sorry，刚才的主机名错了，以这个为准
     主机 : 192.168.4.18
     数据库: tongji
     账号: metao
     密码: 



mask 区域

*****45*****





帐号
[email protected]
[email protected]
                        已加入背篓科技群组和数据支撑群组
以上两个账号通用
密码：metao800
登陆右侧网址自行修改密码 http://exmail.qq.com
                       内部可以用 @belo-inc.com ，所有对外的邮件必须用 @metao.com （包括名片）
Re: 市场部-在线营销经理王可斌开通baidu统计账户权限 
发件人：lijinglei <[email protected]>	
时   间：2015年1月14日(星期三) 上午10:20	
收件人： 
张虹 <[email protected]>
Hi 张虹：
管理员账户我交给你吧，你这边管理就好了
用户名 ：蜜淘全球购
密码：



mask 区域

*****u80*****





市场部统一对外邮箱：
[email protected]
密码：



mask 区域

*****ao*****





(M大写）
百度统计：www.tongji.baidu.com 帐号，密码需要自己设置，我已发邀请邮件给您
app应用数据：
友盟：http://www.umeng.com/  帐号：[email protected] 密码： 



mask 区域

*****u80*****





内部数据平台：
www.tongji.beilou.com  帐号：admin  密码：



mask 区域

*****Tao*****

我们可以看到有大量的内部弱口令

mask 区域

*****45*****

初始密码

mask 区域

*****ao*****

等等
http://pipeline.beilou.com/admin/order_search/page.do

可以任意退款可以自定义金额

任意红包发放

不再深入证明

修复方案：

密码规则定义规范重要后台不对外

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0115154

漏洞标题：蜜淘某漏洞导致所有订单泄露并可任意打款（内部敏感账号与订单等系统泄漏）

相关厂商：蜜淘

漏洞作者：路人甲

提交时间：2015-05-20 14:55

修复时间：2015-07-04 14:56

公开时间：2015-07-04 14:56

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0115154

漏洞标题：蜜淘某漏洞导致所有订单泄露并可任意打款（内部敏感账号与订单等系统泄漏）

相关厂商：蜜淘

漏洞作者： 路人甲

提交时间：2015-05-20 14:55

修复时间：2015-07-04 14:56

公开时间：2015-07-04 14:56

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0115154"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云