苏宁易购某接口检验导致所有人员信息泄露(部门+职位+工号+负责人+手机+分机+邮箱)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0119009

漏洞标题：苏宁易购某接口检验导致所有人员信息泄露(部门+职位+工号+负责人+手机+分机+邮箱)

漏洞作者： diguoji

提交时间：2015-06-08 15:18

修复时间：2015-07-23 15:28

公开时间：2015-07-23 15:28

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-06-08：细节已通知厂商并且等待厂商处理中
2015-06-08：厂商已经确认，细节仅向厂商公开
2015-06-18：细节向核心白帽子及相关领域专家公开
2015-06-28：细节向普通白帽子公开
2015-07-08：细节向实习白帽子公开
2015-07-23：细节向公众公开

简要描述：

影响范围很大旗下所有公司和人员信息。可与总裁亲自视频对话，

详细说明：

看到你们会送礼品卡，就试一试。
http://im.suning.com/ 员工号 +密码只选取了10年入职的员工编号进行测试。
10010595 123456
10011210 123456
10020275 123456
10020283 123456
10020295 123456
10020312 123456
10020315 123456
10020362 123456
10020382 123456
10020446 123456
10020477 123456
10020492 123456
10020495 123456
10020508 123456
10020556 123456
10020554 123456
10020736 123456
10020842 123456
10020945 123456
10030447 123456
10030583 123456
10030690 123456
10030788 123456
10031318 123456
10031411 123456
10031430 123456
10031922 123456
10032267 123456
10032266 123456
10032375 123456
10032409 123456
10033303 123456
10033376 123456
10033443 123456
10034372 123456
10034685 123456
10034728 123456
10034844 123456
10034845 123456
10035935 123456
10040005 123456
10040244 123456
10040775 123456
10041224 123456
10041221 123456
10041251 123456
10041553 123456
10041692 123456
10041754 123456
10041762 123456
10042135 123456
10042334 123456
10042526 123456
10043595 123456
10043859 123456
10043923 123456
10044066 123456
10044513 123456
10044716 123456
10044905 123456
10045453 123456
10045460 123456
10045462 123456
10045794 123456
10046113 123456
10046304 123456
10046372 123456
10047062 123456
10047191 123456
10047194 123456
10047305 123456
10047587 123456
10050056 123456
10050388 123456
10050606 123456
10050780 123456
10050938 123456
10051054 123456
10051151 123456
10051235 123456
10051668 123456
10051816 123456
10053509 123456
10060143 123456
10060292 123456
10060314 123456
10060882 123456
10061916 123456
10061927 123456
10063634 123456
10065216 123456
10073913 123456
10075859 123456
10081423 123456
10082706 123456
10082820 123456
10082952 123456
10084223 123456
10086543 123456
10090443 123456
10090502 123456
10090734 123456
10091533 123456
10091972 123456
10092322 123456
10093574 123456
10094463 123456
10100781 123456
10100823 123456
10101242 123456
10110314 123456
10110401 123456
10110766 123456
10050772 1234567
10010779 suning@123
10010822 suning@123
10011011 suning@123
10011587 suning@123
10032407 suning@123
10034991 suning@123
10040748 suning@123
10041880 suning@123
10043842 suning@123
10044168 suning@123
10045842 suning@123
10046027 suning@123
10052256 suning@123

漏洞证明：

选取个账号登陆

可上传捆绑木马发邮件等方式拿资料。

修复方案：

版权声明：转载请注明来源 diguoji@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-06-08 15:26

厂商回复：

感谢提交，稍后送上1000元礼品卡。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0119009

漏洞标题：苏宁易购某接口检验导致所有人员信息泄露(部门+职位+工号+负责人+手机+分机+邮箱)

相关厂商：江苏苏宁易购电子商务有限公司

漏洞作者： diguoji

提交时间：2015-06-08 15:18

修复时间：2015-07-23 15:28

公开时间：2015-07-23 15:28

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 diguoji@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0119009

漏洞标题：苏宁易购某接口检验导致所有人员信息泄露(部门+职位+工号+负责人+手机+分机+邮箱)

相关厂商：江苏苏宁易购电子商务有限公司

漏洞作者： diguoji

提交时间：2015-06-08 15:18

修复时间：2015-07-23 15:28

公开时间：2015-07-23 15:28

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0119009"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 diguoji@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：