漏洞概要
关注数(24)
关注此漏洞
漏洞标题:微众购设置不当可导致5000+收货地址清空+csrf任意添加收货地址
漏洞作者: 小龙
提交时间:2015-03-11 11:55
修复时间:2015-04-25 11:56
公开时间:2015-04-25 11:56
漏洞类型:应用配置错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-03-11: 细节已通知厂商并且等待厂商处理中
2015-03-11: 厂商已经确认,细节仅向厂商公开
2015-03-21: 细节向核心白帽子及相关领域专家公开
2015-03-31: 细节向普通白帽子公开
2015-04-10: 细节向实习白帽子公开
2015-04-25: 细节向公众公开
简要描述:
嘿嘿
详细说明:
先用两个号
为UserA:
userB:
我们先用userA去添加一个收货地址
然后用USERb也添加一个地址,
Userb修改的时候抓包把id改成userA的。。。
可以把这个ID取代过来,然后自动清空
看图,userA的ID是:5486
USERB开始修改,并且把ID修改为5486
还有一处csrf
新建一个poc.html
访问前
漏洞证明:
先用两个号
为UserA:
userB:
我们先用userA去添加一个收货地址
然后用USERb也添加一个地址,
Userb修改的时候抓包把id改成userA的。。。
可以把这个ID取代过来,然后自动清空
看图,userA的ID是:5486
USERB开始修改,并且把ID修改为5486
还有一处csrf
新建一个poc.html
访问前
修复方案:
1:删除或者修改的时候添加验证
2:csrf可添加token来防御,厂商不懂可以来:http://drops.wooyun.org/papers/155 乌云知识库参考修复方案
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-03-11 17:34
厂商回复:
该入口确实存在漏洞可修改地址,但目前那个地址表已清空也没所谓,目前该处是用的提交地址表,那个表是之前的,确实存在漏洞
最新状态:
2015-03-11:该处地址是之前微众购没改过提交地址方式的地址,不直接影响现在收获地址,漏洞确实存在,但不影响提交后的收获地址。 这个地址算是提交地址的快捷选项。谢谢提交漏洞