漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0163999
漏洞标题:拉卡拉某处漏洞可泄露用户信息(姓名、手机号码、详细住址)
相关厂商:拉卡拉网络技术有限公司
漏洞作者: inforsec
提交时间:2015-12-24 10:00
修复时间:2016-02-07 17:56
公开时间:2016-02-07 17:56
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-24: 细节已通知厂商并且等待厂商处理中
2015-12-25: 厂商已经确认,细节仅向厂商公开
2016-01-04: 细节向核心白帽子及相关领域专家公开
2016-01-14: 细节向普通白帽子公开
2016-01-24: 细节向实习白帽子公开
2016-02-07: 细节向公众公开
简要描述:
拉卡拉某处泄露大量用户信息(姓名、手机号码、详细住址),数据持续更新中,求重视!
详细说明:
首先我们百度下:site:*.lakala.com 订单详情
打开第一条链接:
http://mall.lakala.com/orders/vieworder?ot=1433293292418&orderId=20150603303235
显示了订单的详细信息,包括用户姓名、电话、详细住址等。
但是当我们进行修改orderID的时候发现都会跳转回首页,只能作罢。
介于百度上没有搜索到更多信息,我们再打开360好搜试试:
只有两条记录,链接跟之前的差不多,都无法进行轻易遍历。接下来只能求助大神了,翻墙,上google搜索,果然有惊喜:
打开链接:
mall.lakala.com/purchases/cancelorder?orderId=20140301195050
发现它会自动跳转到另一个链接:
http://mall.lakala.com/orders/vieworder?ot=1393892046389&orderId=20140301195050
对后者进行遍历行不通,那么我试试前者如何,修改orderId为20140301195051,果然可以:
对比了下orderId以及处理时间,我们发现处理时间的年月日与orderId的前几位一致,那么我们尝试着遍历后2位看看效果如何,若是正常,则返回302,若是不正常则是500:
还不错,100个请求出现了81个正常返回。
但是有个很奇怪的一点,我们将前几位随机修改成正常的年月日的却很少有正常的返回。由此推断出拉卡拉团队并不是每天都会进行cancleorder的处理,那应该还会有正常order的处理。既然google里找不到我们想要的,我只能拿出压箱底的技能了,上bing!
收获大大的,有木有!
还有最新的支付信息:
糯米网的最新的消费信息!
漏洞证明:
修复方案:
你们比较专业,但别忘了找各大搜索把快照清一清。
版权声明:转载请注明来源 inforsec@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2015-12-25 09:56
厂商回复:
产品需求差异,已修复。
最新状态:
2015-12-25:已经修复