漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-010966
漏洞标题:淘宝恶意申诉漏洞,利用规则成功N起案件
相关厂商:淘宝网
漏洞作者: CJ也疯狂
提交时间:2012-08-16 18:24
修复时间:2012-08-20 16:46
公开时间:2012-08-20 16:46
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-08-16: 细节已通知厂商并且等待厂商处理中
2012-08-20: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
淘宝恶意申诉规则绕过,充值平台业务逻辑漏洞严重,自动充值平台后台显示交易成功,等于充值平台确认了,成功了居然还有申请退款的功能。淘宝平台间机制缺失导致商户经济损失严重,大量商户放弃淘宝,甚至用同样手法去行骗。目前大量天猫商务也遇到问题。百度一搜恶意退款,全是受害者。
详细说明:
淘宝恶意申诉规则绕过,充值平台业务逻辑漏洞严重,自动充值平台后台显示交易成功,等于充值平台确认了,成功了居然还有申请退款的功能。淘宝平台间机制缺失导致商户经济损失严重,大量商户放弃淘宝,甚至用同样手法去行骗。
漏洞证明:
条件说明:
卖家:
1、淘宝承诺:7*24小时 在线货源平台自动充值。
自动充值
系统完全自动处理订单,无须客服24小时在线,充值管理成本低。 优质丰富货源
产品价格实惠、产品分布广泛、充值即时到帐、时间管理更有效。 安全保障
供货商严格审核通过,卖家账户安全有可靠、稳定的保障。 轻松开店
淘宝充值平台拥有专门的服务团队,为卖买双方提供及时有效的解答和服务。 产品排名更优势
卖家拥有平台的专属标识、产品方便买家搜索和充值 无缝对接
平台产品可一键直接发布在淘宝,保留淘宝功能、让卖家效率更高
2、经过测试秒冲到账无问题。
买家【诈骗人员】:购买QB充值卡8张,连续4次购买。分别为444.44元。购买后立刻进行连续申诉,成功退款。
问题:1、如果没到账为什么还继续购买???时间上没有进行判断。
2、申诉3天不处理就进行退款,如果店家出去玩,小长假,怎么办?24秒冲无人值守怎么做到的。
3、没有手机短信、电话、邮件等通知卖家处理信息,支付宝都有手机号的店主也有的怎么不通知?
4、按照正常交易原则,货物已发出,并且充值平台可以看见交易成功,还能申请退款?平台间没有联动机制?无法判断?
5、按照正常交易原则,退款同时进行退货,真实物品交易有这个机制。虚拟货币没有这个机制吗?有待改正。
请问大量问题下 怎么赔偿卖家?
可以查询淘宝号 进行验证:cxllong0303@hotmail.com
修复方案:
严格修改机制。平台需要打通关键点。
版权声明:转载请注明来源 CJ也疯狂@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-08-20 16:46
厂商回复:
感谢CJ也疯狂,经我们核查,此处属于卖家没有及时回应退款请求导致的问题,不属于淘宝的业务漏洞,感谢关注
最新状态:
暂无