当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120737

漏洞标题:指动生活漏洞大礼包(任意用户密码重置、多处XSS、支付逻辑漏洞)

相关厂商:指动生活

漏洞作者: 路人甲

提交时间:2015-06-16 12:30

修复时间:2015-07-31 12:32

公开时间:2015-07-31 12:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-31: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

指动生活,山东最大生活服务类平台

详细说明:

指动生活:
http://www.zdlife.net

15.jpg


漏洞大礼包:
一、任意用户密码重置
二、XSS,窃取用户Cookie等。
三、充值逻辑漏洞,可0.01元充100万。
一、任意用户密码重置:
http://chaoshi.zdlife.net/password
js代码如下:

}else if(i==2){
				//重置密码
				var pass1 = $("#pass1").val();
				var pass2 = $("#pass2").val(); //生成的验证码
				var uphone = $("#uphone").val();
				if(validatev("#pass1","#pass1h")){
					if(pass1!=pass2){
						$("#pass2h").css("border","1px solid red");
						$("#pass2h").show();
						$("#pass2").focus();
					}else{
						$("#pass2h").css("border","1px solid #ccc");
						$("#pass2h").hide();
						$.post("rpass",{ 
						 password:pass1,
						 phone:uphone
						},function(msg){
							if(msg.succeed=="000"){
								alert("密码已成功重置!");
								location.href="preloginCustomers?pagetype=index&&id=null&cur=1";
							}
						},"json");
					}
				}
			}


发现重置密码参数只有password和phone。
发送请求:

4.jpg


这样提示重置成功,但是无法登录,最后在登录的地方发现密码需要编码:
请求地址:http://www.zdlife.net/main/aesEnCode

5.jpg


利用编码后的密码,重置成功,登录成功:
外卖平台:

2.jpg


团购平台:

3.jpg


重置了此账号的密码:
账号:15215311884 密码:123456789
二、XSS
用户昵称:

6.jpg


前端js验证,服务器无验证,抓包修改昵称为<script>alert(/hello/)</script>
保存成功:

7.jpg


收货地址:

8.jpg


9.jpg


XSS处太明显也太多,不再列举。
三、支付漏洞,充值:
http://chaoshi.zdlife.net/center-rechargeStreet

10.jpg


抓包,有两个请求,一个提交订单,一个提交到支付平台。
发现提交到支付平台的金额可以任意修改,订单号不变。

11.jpg


支付平台界面,接受了0.01的订单:

12.jpg


漏洞证明:

已证明。

修复方案:

~~

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝