漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-081213
漏洞标题:京东某处可以重复领取退款以及多处业务控制不严导致的问题
相关厂商:京东商城
漏洞作者: ddy
提交时间:2014-10-30 13:56
修复时间:2014-12-14 13:58
公开时间:2014-12-14 13:58
漏洞类型:网络设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-10-30: 细节已通知厂商并且等待厂商处理中
2014-11-03: 厂商已经确认,细节仅向厂商公开
2014-11-13: 细节向核心白帽子及相关领域专家公开
2014-11-23: 细节向普通白帽子公开
2014-12-03: 细节向实习白帽子公开
2014-12-14: 细节向公众公开
简要描述:
0x00
本来懒得提交乌云的,但是你们的客服太懒了,我只好来提交吧
重复领钱+钓鱼+明文泄漏密保信息,严重吗?
妹子快来,和哥哥一起探索京东购物任意金额都可以免运费的大洞洞!
详细说明:
0x01
京东某处可以重复领取退款
首先,我买了一个16块包邮的无线鼠标,第三天貌似就坏了,本来想退的,但是客服对我卖萌,我就不好意思退了,于是申请换货
P.S 为了避免打广告的嫌疑,我就涂掉一点点
换货之后,貌似很久都没见他们给我退邮费回来
于是10月份初我找京东客服问,他当时找我要了订单号,然后说帮我催
上周我看余额还没到账,又找客服催一下,这时候客服找我要服务单的单号(就是提交换货申请时候新生成的单号)
昨天去京东自营买个飞利浦充电的剃须刀,看到帐号上面有30块余额,就用去了
下单好了之后觉得我不应该有这么多余额啊,然后查了下余额明细
估计是我换货的订单给我申请了一次退款,然后申请换货的单又给我申请了一次退款吧
本来懒得提交乌云的,但是你们的客服太懒了,我只好来提交吧
==============================
0x02
刚刚在
http://zone.wooyun.org/
看到有人说京东难URL跳转外站
我试了试
www.jd.com/pinpai/authcode.php?returnUrl=http%3A%2F%2Fwww.jd.com%2Fpinpai%2F672-14523.html
把returnUrl后面参数改了下,真的跳不到外站,而是【机智】地跳回京东首页了
刚刚去领顺丰优惠券,居然领取不到,
http://active.coupon.jd.com/ilink/couponActiveFront/front_index.action?key=a86e346c8fe14e07b75ea3bd2ba97900&roleId=368219&to=sfbest.jd.com
我又看到
&to=sfbest.jd.com
我淘气地改一下
http://active.coupon.jd.com/ilink/couponActiveFront/front_index.action?key=a86e346c8fe14e07b75ea3bd2ba97900&roleId=368219&to=www.qq.com
哈哈,点击“返回活动页”
跳到企鹅网去了 = =
貌似我没注意看页面的文字,只是习惯点一下左边第一个框框而已= =
==============================
0x03
貌似我提交了,好像忽略了
WooYun: 京东某处泄漏用户密保手机和密保邮箱(应加*显示)
==============================
0x04
比如我们要买一个3块钱的牛肉丝,但是又不想给运费,那怎么办呢
我去,买一个 3 块钱的牛肉丝,要给 5 块钱运费啊
路人甲说过,乌云的白帽子买东西是不能给运费的!
(路人甲:喂!我什么时候说过了。。。)
好吧,我们去买一个其他商品加进去,让订单看起来钱多一点
好了,终于免运费了
然后提交订单,
如果是货到付款的童鞋就跳过这一步,在线支付的就先付款吧
然后
喝一杯茶,然后继续看
ddy:哈哈没事,拆分吧!我谅解的!
好了,把不要的取消掉,然后收货的时候只要付3块钱就能免运费拿到牛肉干了,因为订单拆分了
如果是在线付款的话,钱会退回到原来支付方式的
======
======
漏洞证明:
修复方案:
1.
申请退款(补偿)的时候,多填写几个,比如填写订单号,或者售后补偿的单号,检测一下重复的就人工看下吧
2.
再机智一点,在领取优惠券那边做个钓鱼页。估计能钓到不少(笑话时间:情人节,我大方地给了女朋友1000元支付宝,然后她兴高采烈打开逃堡,我改了本地host文件,盗取了她的支寸宝的钱,结果没多久她哭着来说被骗了,钱丢了,我拍拍她肩膀说,只要她人没丢就好,又给了她1000元)呃我想说,领取优惠券如果跳到钓鱼页,很容易就能盗取到各种信息的
3.
4.
话说,帮我催一下[mask]
[/mask]这个订单,全部都是京东自营商品,24号下午下单的,我在211限时达送达地区,本来应该是25号(星期六)上午到,中午有个联(yue)谊(pao)Party,结果到现在(2014-10-29 15:59:06)还没开始发货!麻烦快点啊啊啊
求京豆 求Rank 求礼物 求各种!!
版权声明:转载请注明来源 ddy@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2014-11-03 17:11
厂商回复:
非常感谢您对京东的关注!
最新状态:
暂无