漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
中粮我买网删除任意用户信息
相关厂商:
漏洞作者:
提交时间:
2013-03-22 12:02
修复时间:
2013-05-06 12:03
公开时间:
2013-05-06 12:03
漏洞类型:
设计缺陷/逻辑错误
危害等级:
高
自评Rank:
10
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2013-03-22: 细节已通知厂商并且等待厂商处理中
2013-03-22: 厂商已经确认,细节仅向厂商公开
2013-04-01: 细节向核心白帽子及相关领域专家公开
2013-04-11: 细节向普通白帽子公开
2013-04-21: 细节向实习白帽子公开
2013-05-06: 细节向公众公开
简要描述:
权限问题
详细说明:
我买网由于水平用户权限问题,可删除任意用户地址信息。
1·用户1 在我的地址簿 新建一个收获地址
同时,关注一下下面的addressId=4473968 ,这个作为被删除的目标。
2·登陆用户2 ,做一个删除地址的请求
可以看到这是个post请求,请求的内容为addressId值
如果直接更改这个post参数,你会发现是不成功的!
3·将此post请求改为GET
将addressid值改一下replay一下吧
看返回是0,,,,,这个就是成功啦,若是1,,,,,那就是有问题滴。
返回用户1 去看刚刚新建的addressId=4473968的地址,已经没有啦
漏洞证明:
已细说
修复方案:
这里的地址删除操作是可改成GET请求的,那我们可以遍历id就能把所有的用户地址信息删除了,就是不知道你们这个地址id是不是可遍历,仅测试哦。
版权声明:转载请注明来源 zzR@乌云
>
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2013-03-22 21:22
厂商回复:
嗯。。。确认漏洞,我们立即安排修复。感谢洞主提交。
最新状态:
暂无