当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0191210

漏洞标题:菠萝蜜泄露1w身份证收货地址购买商品可拦截发货or退货(弱口令)

相关厂商:菠萝蜜

漏洞作者: 小龙

提交时间:2016-04-01 10:53

修复时间:2016-05-16 11:00

公开时间:2016-05-16 11:00

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

波罗蜜 (自营跨境电商)
波罗蜜全球购(以下简称“波罗蜜”)是一个主打“只卖当地店头价”和“视频互动直播”的自营跨境电商,通过在App载入移动视频互动技术,致力于为消费者还原海外购物场景 。
目前,波罗蜜已经开通日本和韩国市场,提供包括美妆个护、母婴用品、保健品、零食以及小家电等商品,海外商品的数量正在持续增加。[1]
创始人兼CEO张振栋在移动互联网领域有超过十年的创业经验。 之所以起名为“波罗蜜”,是想让用户体验穿越到海外“身临其境”的海外购物场景——正如周星驰在电影《大话西游》中念出“波罗波罗蜜”咒语后穿越时空的体验。 [2]
波罗蜜App于2015年7月1日正式上线。上线后第一周日新增用户过2万,第二个月收入破千万,次月重复购买率达45%,直播间收入占30%以上。 [3]

详细说明:

今天 全药厂商的礼物到了,故事的来头从前几天说起。挖了个全药的漏洞,私信他们客服了。说送礼物。比较绅士的我肯定说我不要,但是客服硬说要给我。作为绅士的我只能勉强接受了。今天收到了礼物
正当我以为是ipad
我看到了姨妈红的包装、、、
看到了“菠萝蜜”

1.jpg


2.jpg


送的是巧克力的蛋白粉。不错,有想要的可以去挖挖全药。
找到了目标站,然后找个分站爆破走起。比较核心的订单管理系统

http://oms.bolo.me/
没验证码可爆破
request	payload	status	error	timeout	length	comment
817	xiangxi	200	false	false	621	
906	yangtao	200	false	false	621	
987	zhangchao	200	false	false	621	
密码均为123456


杀入订单系统
1万6千身份证, 收货地址

3.jpg


总计: 16316

4.jpg


光今天的就5000+了
再等几天不就几万了
^_^

5.jpg


请火速修复吧。

6.jpg


卧槽。都是豪

7.jpg


可以帮他们退款等。。。

漏洞证明:

11

修复方案:

11

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)