当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-067955

漏洞标题:天地华宇网上营业厅任意账号登陆后可修改任意其他账户信息

相关厂商:天地华宇

漏洞作者: 路人甲

提交时间:2015-01-06 12:54

修复时间:2015-02-20 12:56

公开时间:2015-02-20 12:56

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

天地华宇随意注册一个网上营业厅账号,可以修改任意订单信息。

详细说明:

见漏洞证明。

漏洞证明:

注册一个新用户,然后访问连接
http://online.hoau.net/THOMS/modifyNewOrder.do?einoId=3518193 --最后的id是自增长的。可以随意输入。然后回车,如下图:

1.png


很明显,这样循环遍历,就可以查询到基本所有的订单信息。

2.png


甚至可以修改这些信息。只是发货人信息的 省市区 有些问题不能直接提交。用工具直接去掉disable .选择后就可提交信息,如下图:

3.png


很明显该信息不是当前用户的。也可以提交修改。只是该订单的状态不允许修改了。
由于id 很规律。而且,信息没有做用户限制。导致,如果恶意的抓取订单资料,或者恶意的修改,取消订单都可以做到。

修复方案:

对每个需要登录后的信息查询做用户限制。限制当前用户只能查询当前用户自己的信息。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝