当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-086148

漏洞标题:tcl核心业务系统缺陷测漏海量淘宝、京东等电商平台用户信息

相关厂商:TCL官方网上商城

漏洞作者: 白非白

提交时间:2014-12-06 16:43

修复时间:2015-01-20 16:44

公开时间:2015-01-20 16:44

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-06: 细节已通知厂商并且等待厂商处理中
2014-12-07: 厂商已经确认,细节仅向厂商公开
2014-12-17: 细节向核心白帽子及相关领域专家公开
2014-12-27: 细节向普通白帽子公开
2015-01-06: 细节向实习白帽子公开
2015-01-20: 细节向公众公开

简要描述:

千里之堤毁于蚁穴。
刚下完订单就收到诈骗信息,问题出在哪儿???

详细说明:

tcl esb数据管理平台
http://125.93.53.5:8081/admin
弱密码admin/123456,test/test
功能强大的管理平台,从此平台可以看出tcl的电商运转全貌,包括库存、财务、物流、销售。
#1 后台的功能全貌一览

1.jpg


#2 esb系统涉及服务配置
该系统拥有丰富的api接口,用于实现各种数据的查询与处理,其中大类如下:

2.jpg


#3 接口资源:主要是财务,物流,订单
从图中的接口名称可以看出,可以获得的订单包括:淘宝、tcl官网、碰碰团购、1号店、当当、拍拍等。

3.jpg


#4 选择一个接口“获取淘宝订单”右键选择店铺管理功能,可以查到tcl在淘宝的所有店铺,可以看到这些店铺的订单均由此系统管理。同理也可以获得其他平台店铺信息。
淘宝店铺:

4.jpg


1号店:

5.jpg


#5 该平台有两个配置项:esb配置,接口配置。同时也有两个数据监控项目:esb数据监控,接口数据监控,用于从配置项的appkey和接口获取数据。esb数据监控非我们所关心的,一图带过,主要涉及物流信息(物流信息也是非常重要的)。

6.jpg


#6 重点来了,从接口数据监控可以获取各平台的订单信息,其中包括平台帐号(比如淘宝帐号等),下单人姓名,收货地址,联系方式等等。
淘宝网约180万条用户信息泄露:

7.jpg


从系统中保存的销售订单原始数据中可以提取出用户数据,包括用户名(由于淘宝可以用户名登录,配合社工库撞库也是一大隐患)。

8.jpg


除了淘宝还有其他平台的用户信息:

9.jpg


漏洞证明:

以上仅为演示说明,未恶意修改或窃取数据,敏感信息已打码。

修复方案:

1.重要系统不要对外开放访问权限
2.弱密码。

版权声明:转载请注明来源 白非白@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-12-07 20:56

厂商回复:

感谢你的工作,已转交相关单位处理。

最新状态:

暂无