当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149228

漏洞标题:上品折扣多处平行越权问题打包

相关厂商:上品折扣

漏洞作者: 路人甲

提交时间:2015-10-26 00:17

修复时间:2015-12-10 00:18

公开时间:2015-12-10 00:18

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

上品折扣(Shopin)是中国都市型百货折扣连锁店旗舰品牌,囊括8家实体店和1家电子商务网站上品折扣网。包括600余个国内外知名品牌、近10万款商品,门类涵盖百货业态的主要商品品类,包括各种知名品牌的服装、服饰、鞋、运动用品、休闲户外用品、儿童用品、家居生活用品、皮具箱包、化妆品、钟表、珠宝、各类饰品等。与实体连锁店同步推出应季新品、统一价格销售。旨在以更便捷的购物方式、更快速的配送服务,更广泛地面向全国消费者,让中国各个区域的时尚一族,同步得享高品质、高性价比的潮流商品。
北京市上品商业发展有限责任公司(简称“上品商业”),是中国第一家名牌折扣商品的零售百货经营管理公司。2000年7月,中国第一家折扣商品百货——上品折扣王府井店盛大开业,开启了中国百货零售业的新纪元。

详细说明:

问题出在微信端,微信关注“上品折扣”,然后绑定手机号,我为了测试方便就绑定了两个号码A,B。
问题1--越权查看订单详情
会员中心-选中任意订单-burp拦截数据包-修改orderNo参数,就可以越权查看指定订单信息

E2A163F2-08C3-40A3-BC6A-5603798E5735.png

672AB3CE-4A6D-4560-9876-E82A1B3BBBD8.png


问题2--越权删除用户收获地址
会员中心-会员中心-收获地址-删除-burp拦截数据包-修改sid为B账号id,即可越权删除B用户的收获地址

6CA4A26F-93C0-4373-A6CC-8DE5DE27EF1F.png

0144D4B7-11AC-4C43-A34D-2ADBC7386542.png


问题3--越权查看/取消用户未付款订单
首先A,B账号在首页随便选购一件商品,然后不付款,在A账号的待付款列表中点击“去支付”

IMG_0660.PNG


burp拦截数据包,修改orderNo参数为B的orderNo

0B33134F-D4E2-417A-945B-8AF14EB8A65E.png


得到的订单变成了B账号的了

IMG_0661.PNG


这里可以支付,可以取消订单,我选择取消订单

IMG_0663.PNG


再到B账号上去看看,订单状态变为了“已作废”

AFF53F2E-7DED-4C04-B1FC-29FEFB0A0F56.png


漏洞证明:

如上

修复方案:

在订单等相关的接口增加sign校验

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝