漏洞概要
关注数(24)
关注此漏洞
漏洞标题:京东商城刷积分
提交时间:2012-09-16 17:34
修复时间:2012-10-31 17:35
公开时间:2012-10-31 17:35
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:8
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2012-09-16: 细节已通知厂商并且等待厂商处理中
2012-09-20: 厂商已经确认,细节仅向厂商公开
2012-09-30: 细节向核心白帽子及相关领域专家公开
2012-10-10: 细节向普通白帽子公开
2012-10-20: 细节向实习白帽子公开
2012-10-31: 细节向公众公开
简要描述:
京东商城购物完成后,评价大于100元的商品,可以获得2积分.但订单没有判断是否是自己的订单.可遍历订单号.刷积分.
详细说明:
求礼物,求不跨省
漏洞证明:
修复方案:
版权声明:转载请注明来源 小钉子@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2012-09-20 17:22
厂商回复:
在近几天中,由于未下定单未直接复现测试过程,先行由图片认定。转由中国互联网协会网络与信息安全工作委员会(秘书处设在CNCERT)协调京东商城处置。
按部分影响完整性、可用性进行评分,rank=6.42*1.1*1.3=9.180
最新状态:
暂无
漏洞评价:
评论
-
2012-09-16 18:29 |
瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )
-
2012-09-16 18:43 |
瘦蛟舞 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)
说的好明白=-=!京东现在也归cert了,我擦。。
-
2012-09-17 16:44 |
livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)
-
2012-09-20 23:31 |
Master ( 路人 | Rank:29 漏洞数:10 )
-
2012-10-31 21:36 |
piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)
-
2012-11-01 11:14 |
ZedeX ( 路人 | Rank:16 漏洞数:3 | zx)
-
2012-11-01 11:14 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
@ZedeX 不会的,走了通知渠道,在对外公开之前京东就已经修复啦。