当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018344

漏洞标题:寺库网(SECOO)查看任意用户订单,全是奢侈品啊

相关厂商:寺库中国

漏洞作者: xfkxfk

提交时间:2013-02-05 11:08

修复时间:2013-03-22 11:08

公开时间:2013-03-22 11:08

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-05: 细节已通知厂商并且等待厂商处理中
2013-02-05: 厂商已经确认,细节仅向厂商公开
2013-02-15: 细节向核心白帽子及相关领域专家公开
2013-02-25: 细节向普通白帽子公开
2013-03-07: 细节向实习白帽子公开
2013-03-22: 细节向公众公开

简要描述:

寺库网(SECOO)——寺库是目前国内规模最大、品类最全的高端奢侈品折扣平台。
存在查看任意用户订单漏洞,里面全是几千几万的奢侈品啊,都是有钱淫。。。

详细说明:

这里是测试,不想注册,就随便试了几个账户,然后就拿tester这个用户进行测试了。


1、首先自己下了个订单,然后看了下我的订单详情:

url地址:http://www.secoo.com/userCenter/orderCtrl/detail?orderId=201302044685


看见url里面有个orderId,然后就好奇了,能不能看其他订单信息呢?
然后就随便改一个orderId号:

url地址:http://www.secoo.com/userCenter/orderCtrl/detail?orderId=201302044682


果然看到了订单详细信息,大喜,我的乖乖的,里面都是好东西,不好的是,用户的信息全部泄露了,姓名,手机号码,详细送货地址,邮箱,邮编等等,太可怕了,赤裸裸了。。。
2、刚开始以为这个orderId是有当前年月日+4位伪随机数组成,为了证明订单号的规律,然后就暴力遍历了一下,我从

20130204111——20130204555

为payload,开始遍历了一下哪些是有效的订单号,最后发现这个订单号的4位随机数是连续的!!!从遍历的结果中可以看出来。
3、下面我们来看看漏洞证明:

漏洞证明:

1、我自己生成的订单:

.jpg


2、随机猜测的订单号:

0.jpg


3、暴力遍历一下有效订单号,从返回长度很容易看出哪些payload是有效订单号:

payload.jpg


.jpg


4、看一下遍历出来的有效订单的详细信息,这里就列出其中三个。

1.jpg


2.jpg


3.jpg

修复方案:

控制用户权限。
求rank,求礼物,求修复。。。

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2013-02-05 13:43

厂商回复:

该漏洞已弥补,感谢

最新状态:

暂无