当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119942

漏洞标题:春水堂情趣用品电商功能越权可泄露20W+用户信息(姓名/电话/地址)

相关厂商:chunshuitang.com

漏洞作者: 小饼仔

提交时间:2015-06-12 13:58

修复时间:2015-07-27 14:04

公开时间:2015-07-27 14:04

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-12: 细节已通知厂商并且等待厂商处理中
2015-06-12: 厂商已经确认,细节仅向厂商公开
2015-06-22: 细节向核心白帽子及相关领域专家公开
2015-07-02: 细节向普通白帽子公开
2015-07-12: 细节向实习白帽子公开
2015-07-27: 细节向公众公开

简要描述:

唉~
泄露了用户的姓名、电话、地址。
不要问我为什么会发现,我不是去买娃娃的!

详细说明:

因为漏洞比较容易发现,为了避免泄露厂商信息,提交漏洞时,问题厂商填了 某情趣用品电商
某深夜睡觉前看网易新闻,看到了一则关于情趣用品电商的新闻,然后就有了这个漏洞
电商地址:

http://www.chunshuitang.com/


简介

春水堂全名为北京春水堂商业连锁有限公司,创立于2003年1月,取义于南唐大词人冯延巳传诵千年的浪漫古词“风乍起,吹皱一池春水。闲引鸳鸯香径里,手挼红杏蕊……”
春水堂已经成为中国情趣文化的倡导者,其创始人蔺德刚的著作《成人之美》,被出版界誉为夫妻情趣生活的教科书。


问题:
主站和m站,查看、修改收货地址处存在越权,app端估计也有,厂商自己测一下吧
修改地址ID即可查看其他用户收货地址
一共有两处,一处需要登陆,一处不需要
1. 不需要登陆
访问

http://buy.chunshuitang.com/address/select/?addid=2222


修改后面的addid即可查看

1.png


2.png


3.png


2. 需要登陆
登入后,直接访问以下地址:

http://user.chunshuitang.com/address/edit/?addid=20000


修改addid即可查看其它用户

4.png


5.png


漏洞证明:

标题里的20W+用户可能有点不准确,因为可能一个人对应多个收货地址。
提交漏洞前新增了一个地址,addid=224675,因为ID是连续的,且大多数人都是对应一个收货地址,所以写了20W
还有几个问题,这里再提一下
1. 登陆处可以爆破,没有验证码,POST请求里面有个hashstr,以为是防止CSRF的,结果发现这个值为固定值。
2. 添加、修改地址处存在CSRF,虽然请求里有个hashstr,但是和1一样,为固定值。其它功能厂商自己排查下。
主站和m站都有这个问题,app端厂商自测下吧。

修复方案:

没有做任何破坏,只是证明问题~
哈哈,送点优惠券和兑换码可好~~

版权声明:转载请注明来源 小饼仔@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-06-12 14:03

厂商回复:

感谢小饼仔!漏洞已修复

最新状态:

2015-06-12:漏洞已经修复