漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-026999
漏洞标题:康师傅某抽奖活动页面个人信息泄漏(包括中奖者邮箱、手机等)
相关厂商:康师傅
漏洞作者: 风的传奇
提交时间:2013-06-27 16:36
修复时间:2013-08-11 16:37
公开时间:2013-08-11 16:37
漏洞类型:网络敏感信息泄漏
危害等级:中
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-08-11: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
康师傅某活动抽奖页面,可以通过直接请求某个文件,直接快速获得抽奖资格。另外通过输入某个网址,可以直接查看到中奖者详细信息,内容包括:真实姓名、手机、联系地址、电子邮箱等。
详细说明:
在康师傅的某个活动抽奖页面,http://www.ksf-csxy.com/#/home/,可以直接通过请求一个文件,直接快速地获得大量积分及抽奖资格(原本需要几十分钟才能完成的)。另外通过输入某个网址,可以直接查看到详细的中奖者信息,中奖者真实姓名、手机、联系地址、电子邮箱等一览无余。
漏洞证明:
1、http://www.ksf-csxy.com/#/home/,选择QQ或者微博登录
2、登录成功后,新开一个窗口,打开http://www.ksf-csxy.com/getscore.json,并不断按F5进行刷新,可以看到返回:
{"status":200,"message":"成功","debug":null,"attachment":{"current_score":0,"bottle_id":0,"bottle_name":"nothing","total_score":1000,"total_bottle11":0,"total_bottle12":0,"status":0,"msg":"ok"}}
可以看到total_bottle11跟total_bottle12的值快速增加(原本需要玩游戏做任务才能获得的,现在直接刷新可以几秒内获得要几十分钟才能获得的积分)。当这两个属性值之和大于等于100时,返回http://www.ksf-csxy.com/#/home/即可进行抽奖。
3、http://www.ksf-csxy.com/getprize.json,通过这个链接可以直接看到中奖者的详细信息。
修复方案:
1、对于直接请求URL刷新得积分的BUG,可以通过限制刷新时间、提交加密字符串并在服务器端进行验证等方式进行修复
2、对于直接请求某个文件返回中奖者详细个人信息json数据的BUG,官方完全通过控制输出进行修复,前端需要用到的仅仅是中奖者用户名、时间、奖品而已,只需要输出这些信息即可。
版权声明:转载请注明来源 风的传奇@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝