当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-054523

漏洞标题:网易新闻积分商城平行权限可获取他人奖品兑换码

相关厂商:网易

漏洞作者: jeffreys125

提交时间:2014-03-28 15:17

修复时间:2014-06-26 15:17

公开时间:2014-06-26 15:17

漏洞类型:非授权访问/认证绕过

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-28: 细节已通知厂商并且等待厂商处理中
2014-03-31: 厂商已经确认,细节仅向厂商公开
2014-04-03: 细节向第三方安全合作伙伴开放
2014-05-25: 细节向核心白帽子及相关领域专家公开
2014-06-04: 细节向普通白帽子公开
2014-06-14: 细节向实习白帽子公开
2014-06-26: 细节向公众公开

简要描述:

网易新闻积分商城平行权限漏洞可获取他人兑换物品的兑换码。。

详细说明:

在进入网易新闻积分商城里看我的宝贝的时候随手抓了个包,发现了个地址

http://c.3g.163.com/nc/uc/store/myprizes/?userid=m18******7@163.com


这里会返回用户抽奖获得及兑换的商品。。。随手把userid后面的账号换成他人的就可以查看其他人抽奖获得及兑换的商品。。。
查看奖品详情是
post

userid=m18******7@163.com&prizeid=p****N


http://c.3g.163.com/nc/uc/prize/instance/


其中prizeid是商品代码。。。
本来这玩意儿不会造成什么影响。。。
但是积分商城兑换的东西有“战网一卡通”的卡密,“网易彩票3元”兑换码这些东西,只要你兑换了这些东西,这些兑换码和卡密就会出现在奖品详情里。。。。
所以我们要查看用户兑换的一卡通卡密
post

userid=用户名&prizeid=p9ND4HHIR


http://c.3g.163.com/nc/uc/prize/instance/


我们怎么找网易新闻的用户呢?
最近网易新闻不是出了个“一起来拍三,共庆三周年”的活动么?

http://active.163.com/service/form/v1/1396/list.jsonp?_charset=UTF-8&page=1&pageSize=10&callback=ugc


打开这网址就可以查看到上传用户的用户名。。。
就可以用这些用户名去试3元彩票和一卡通。。。
当然这些用户不一定会去兑换这些东西,还有很多用户兑换了之后都把兑换码使用了。。
所以这玩意儿危害不大。。。。。。。。。
ps:本来是懒得发这玩意儿的,因为没多大影响。。。但是看到网易新闻老是发wooyun上其他厂商的洞我看着烦。。。所以上来就818网易新闻的。。。。

漏洞证明:

www.jpg

修复方案:

感谢您对网易的关注,该问题并不是安全漏洞。

版权声明:转载请注明来源 jeffreys125@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2014-03-31 15:25

厂商回复:

感谢您对网易的关注,漏洞已经修复。

最新状态:

暂无