当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025927

漏洞标题:中粮我买网任意修改用户进行积分抽奖

相关厂商:中粮我买网

漏洞作者: Mr.leo

提交时间:2013-06-14 14:14

修复时间:2013-07-29 14:15

公开时间:2013-07-29 14:15

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-14: 细节已通知厂商并且等待厂商处理中
2013-06-15: 厂商已经确认,细节仅向厂商公开
2013-06-25: 细节向核心白帽子及相关领域专家公开
2013-07-05: 细节向普通白帽子公开
2013-07-15: 细节向实习白帽子公开
2013-07-29: 细节向公众公开

简要描述:

中粮我买网任意修改用户进行积分抽奖

详细说明:

http://jifen.womai.com/index.php
1、直接登录此网页,没有任何问题。
2、如果使用下面的URL也可以跳转到抽奖页面,不过是任意用户的。修改code这个值即可。修改了几个code参数,积分600-2000多不等。
URL:http://jifen.womai.com/share.php?activity=6&code=13055364&mid=0

1.png


2.png


3.png


4.png


漏洞证明:


修复方案:

个人觉得带来的隐患如下:
1、中粮我买网的积分除了能抽奖,还能兑换东西吧。恶意抽奖,导致不必要的积分损失。
2、知道了用户名,有可能被人故意输入错5次密码,导致账户被冻结,带来不必要的麻烦。另外使用社工库有可能被人获取到用户密码,导致更严重的经济损失。
建议修复方面,呵呵;之前中粮我买网有过类似的问题,应该懂的如何去处理。

版权声明:转载请注明来源 Mr.leo@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-06-15 07:42

厂商回复:

感谢洞主~~

最新状态:

暂无