漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-018243
漏洞标题:淘宝网一处业务设计逻辑漏洞可导致欺诈成功
相关厂商:淘宝网
漏洞作者: open
提交时间:2013-02-01 15:45
修复时间:2013-03-18 15:46
公开时间:2013-03-18 15:46
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-02-01: 细节已通知厂商并且等待厂商处理中
2013-02-01: 厂商已经确认,细节仅向厂商公开
2013-02-11: 细节向核心白帽子及相关领域专家公开
2013-02-21: 细节向普通白帽子公开
2013-03-03: 细节向实习白帽子公开
2013-03-18: 细节向公众公开
简要描述:
在淘宝网的投诉环节,存在一处业务逻辑问题,可导致但买家投诉卖家后,卖家可以永久拒绝买家的退款申请,并且可导致淘宝客服无法介入退款申请
详细说明:
大概的流程如下
买家A在淘宝网上购买了卖家B的商品,进而发现卖家B没有发货或者是其他原因,A申请退款,B可以立即拒绝,这个时候,卖家立即拒绝(经过试验可以用程序自动拒绝,漏洞!),而买家A只有3天的时间(这个时间是从发起退款申请那一刻计算的)来处理卖家拒绝的退款申请。
但是,淘宝客服介入也是三天时间,而淘宝还有一条规定是,当卖家拒绝退款申请的时候
“卖家没有接受申请,请您及时处理,逾期将自动撤销申请。”,这个时间也是3天,理论上是同一个时间的,也就是说你如果没有在三天内进行处理,那么这个申请也会被撤销。
如果卖家一直拒绝,那么就会导致一个“退款申请逾期”的问题,导致客服介入之前就“逾期”了。
漏洞证明:
修复方案:
你们自己懂?
版权声明:转载请注明来源 open@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2013-02-01 17:28
厂商回复:
感谢您对我们的关注,该问题已经联系相应负责人处理了~~ 谢谢~
最新状态:
暂无