当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129253

漏洞标题:多点O2O数百万用户资料泄露(姓名、家庭住址、手机号、购买商品)

相关厂商:北京优鲜派电子商务有限公司

漏洞作者: RipZ

提交时间:2015-07-26 22:40

修复时间:2015-09-09 22:40

公开时间:2015-09-09 22:40

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

多点O2O数百万用户资料泄露(姓名、家庭住址、手机号、购买商品)。
全部抓取后可进行社工诈骗(退货骗钱等)。
其中部分为用户去超市自提订单,未显示用户住址,但有手机号与购买商品清单,可利用其进行社工,如:“当时自提有个商品未取走,现在美廉美负责免费派送,请提供姓名以及住址等等”
——————————————————————————————————————————
Dmall以优质服务+价格折扣+一小时送达为核心竞争力,其打造的是一个O2O的闭环系统,用户可以通过网页,手机App下单,之后根据消费者设定地址指派最近的店派送,15分钟拣货、60分钟送达,一小时送达在目前同类O2O生活服务平台还属首例。

详细说明:

今天朋友圈看见有人分享推荐这dmall买东西不错,省时省心,果然省心么?
www.dmall.com
www.dmall.com/www/
m.dmall.com

00.jpg


1.1.jpg


ok,先随便选几个商品进行订单提交,下图为测试订单。

my.jpg


直接修改订单号即可。
http://m.dmall.com/order/detail/19287851#

2.jpg


http://m.dmall.com/order/detail/19287805#

3.jpg


http://m.dmall.com/order/detail/19287855#

4.jpg


http://m.dmall.com/order/detail/19280568#

5.jpg


为何我说涉及数百万呢?注意订单号。
这个订单14开头。
http://m.dmall.com/order/detail/14000002#

6.jpg


15开头的订单:
http://m.dmall.com/order/detail/15000001#

15.jpg


16开头的:
http://m.dmall.com/order/detail/16000001#

16.jpg


17开头的:
http://m.dmall.com/order/detail/17000001#

17.jpg


18开头的:
http://m.dmall.com/order/detail/18000001#

18.jpg


19开头的:
http://m.dmall.com/order/detail/19121234#

7.jpg


中间数字随便改,均可获取订单详情。
随便跑了最后四位,全中。

list.jpg


漏洞证明:

http://m.dmall.com/order/detail/19287855#

4.jpg

修复方案:

权限!!!

版权声明:转载请注明来源 RipZ@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝