当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-071917

漏洞标题:大Q手机官网越权操作,用户资料遍历泄露

相关厂商:无锡买卖宝信息技术有限公司

漏洞作者: 百晓生

提交时间:2014-08-11 12:10

修复时间:2014-09-25 12:12

公开时间:2014-09-25 12:12

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-11: 细节已通知厂商并且等待厂商处理中
2014-08-11: 厂商已经确认,细节仅向厂商公开
2014-08-21: 细节向核心白帽子及相关领域专家公开
2014-08-31: 细节向普通白帽子公开
2014-09-10: 细节向实习白帽子公开
2014-09-25: 细节向公众公开

简要描述:

在测试了买卖宝商城后,又来到了旗下的大Q手机商城。大Q手机好高端的感觉,高大上,有木有!!感言:无心插柳柳成荫。。。

详细说明:

打开大Q官网http://daq.cn/?fr=67001,与买卖宝是同一家,试试刚才偷来的买卖宝的帐号test123,密码:123456 竟然进去了。。。数据库是共享还是同一个,大家可以联想。。。同一家公司,买卖宝存在的问题大Q应该也存在吧,个人资料编辑收货地址,试试XSS先,竟然幕友弹窗!

Q.jpg

好桑心~
同一家公司怎么会不一样呢?!!一抬头,咦,这是嘛呀?

Q地址.jpg

改个数字试试?

Q改变.jpg

Q改变1.jpg

那个ID对应的是每个账户的固有ID!!由此可以遍历整个网站的用户资料,由于时间和经历有限,先这样吧。声明一下:洞主没有下载记录用户资料。。不过,才1万多用户,还需努力啊!!

漏洞证明:

打开大Q官网http://daq.cn/?fr=67001,与买卖宝是同一家,试试刚才偷来的买卖宝的帐号test123,密码:123456 竟然进去了。。。数据库是共享还是同一个,大家可以联想。。。同一家公司,买卖宝存在的问题大Q应该也存在吧,个人资料编辑收货地址,试试XSS先,竟然幕友弹窗!

Q.jpg

好桑心~
同一家公司怎么会不一样呢?!!一抬头,咦,这是嘛呀?

Q地址.jpg

改个数字试试?

Q改变.jpg

Q改变1.jpg

那个ID对应的是每个账户的固有ID!!由此可以遍历整个网站的用户资料,由于时间和经历有限,先这样吧。声明一下:洞主没有下载记录用户资料。。不过,才1万多用户,还需努力啊!!

修复方案:

你们既然能把XSS防护了,这也应该可以。。听说咱公司渗透农民工市场很深,我也是搬砖的,能送点礼物不,大Q手机就很不错哦~

版权声明:转载请注明来源 百晓生@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-08-11 12:19

厂商回复:

感谢!!
亲,对这类漏洞,真实痛心疾首啊。

最新状态:

暂无