漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
天地华宇网上营业厅任意账号登陆后可修改任意其他账户信息
相关厂商:
漏洞作者:
提交时间:
2015-01-06 12:54
修复时间:
2015-02-20 12:56
公开时间:
2015-02-20 12:56
漏洞类型:
账户体系控制不严
危害等级:
高
自评Rank:
20
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2015-01-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-20: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
天地华宇随意注册一个网上营业厅账号,可以修改任意订单信息。
详细说明:
见漏洞证明。
漏洞证明:
注册一个新用户,然后访问连接
http://online.hoau.net/THOMS/modifyNewOrder.do?einoId=3518193 --最后的id是自增长的。可以随意输入。然后回车,如下图:
很明显,这样循环遍历,就可以查询到基本所有的订单信息。
甚至可以修改这些信息。只是发货人信息的 省市区 有些问题不能直接提交。用工具直接去掉disable .选择后就可提交信息,如下图:
很明显该信息不是当前用户的。也可以提交修改。只是该订单的状态不允许修改了。
由于id 很规律。而且,信息没有做用户限制。导致,如果恶意的抓取订单资料,或者恶意的修改,取消订单都可以做到。
修复方案:
对每个需要登录后的信息查询做用户限制。限制当前用户只能查询当前用户自己的信息。
版权声明:转载请注明来源 路人甲@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝