当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-088365

漏洞标题:微店导致数十万用户敏感信息泄露。

相关厂商:微店网

漏洞作者: Arthur

提交时间:2014-12-24 19:01

修复时间:2015-03-24 19:02

公开时间:2015-03-24 19:02

漏洞类型:非授权访问

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

如今的微信,可以支付,可以关注公众号,可以逛微店(虽然我很厌恶微信推广),但是你的微信真的安全吗?

详细说明:

1.jpg


圣诞节快到了,打算在酒吧的微店定一个桌位。但是一听要1000多的消费才允许订桌,我想想也就算了,还不如挖漏洞。
发现该连接可以未授权访问微商的手机号,密码,余额,信用值,微信ID等。http://xxx.xxx.com/data/account/?uid=(number)
example:
http://7m9bar.bama555.com/data/account/?uid=1

2.jpg


原本以为应该是小漏洞,结果就没去管。
原来全国都用着这个所谓的微信CMS。不知道怎么称呼对不对。
访问主站:http://www.bama555.com/auth/login
然后是找关键字

3.jpg


为了保险用Google语言搜索一下我的目标站点,就以“拥抱变化,开启移动互联网梦想! ”为关键字吧。

4.jpg


然后编辑谷歌搜索语句:intitle:微网站后台登录 intext:拥抱变化,开启移动互联网梦想!找到23条数据,但是实际有用的却不多。

5.jpg


百度里面又找了一些有用的。

6.jpg


可用的网站:
www.bama555.com
www.69juzi.com
hzym.vilison.com
www.vson.cc
c.bama555.net
你以为就这些吗??
还记得那些微店的域名吗?都是一些子域名。那么可用这样构造谷歌语句。
6千多个微店,而且看了一下,基本都没有重复的。

7.jpg


以这个URL为例子,这个URL记录了10万的用户信息。
http://7m9bar.bama555.com/data/account/?uid=100000
我找到的是5个,加上未被搜索引擎发现的我算少点,就2个吧。那么就是7个。
那么总共有70万的微店商家信息被泄露出去了,而且这些还不包括用户在微商里面的注册信息。
不知道我的算法对不对。。。
在这里有厂家的官网
http://beijing.liebiao.com/qitajiameng/135842185.html
之后发现好像是聚来宝投资的,这个不太确定。
http://www.julaibao.com/
官方网站
http://www.431801.okwei.com/
http://www.okwe1.com/

漏洞证明:

NULL

修复方案:

验证!加密!再验证!

版权声明:转载请注明来源 Arthur@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝