当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014174

漏洞标题:利用css淘宝网商品信息任意修改

相关厂商:淘宝网

漏洞作者: liyang

提交时间:2012-11-01 12:53

修复时间:2012-12-16 12:54

公开时间:2012-12-16 12:54

漏洞类型:钓鱼欺诈信息

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-01: 细节已通知厂商并且等待厂商处理中
2012-11-02: 厂商已经确认,细节仅向厂商公开
2012-11-12: 细节向核心白帽子及相关领域专家公开
2012-11-22: 细节向普通白帽子公开
2012-12-02: 细节向实习白帽子公开
2012-12-16: 细节向公众公开

简要描述:

淘宝网商品信息任意修改,包括售出数量,评价等等。

详细说明:

你们知道这个框出来的地方是假的吗!!!???

33943922-1.jpg


这个骗局用到的是css里的background属性,意思就是为一个区域设置一个背景图,这是骗局实现的关键所在,页面虚假的东西都是由背景图片呈现的。
先来看第一处,30天销售数量

33943922-2.jpg


从左下角的html中可以看出,实际销售量是0,但是右下角店铺利用css把0右移一点,左边空出的地方用了一个背景图58构成了580件的销售量。
第二处,购物须知,被改成了“优质商家 7天无理由退换”

33943922-3.jpg


第三处同理,评价数和成交数也被修改了

33943922-4.jpg


第四处,评价自然也是假的,左下角代码里显示的是“没有找到结果”。。。

33943922-5.jpg


大概就是这样子了,卖家的信用构成基本是话费刷的。。

漏洞证明:

修复方案:

你们懂得

版权声明:转载请注明来源 liyang@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-11-02 13:57

厂商回复:

感谢liyang对我们的关注,此问题我们之前已经发现,现已修复

最新状态:

暂无

漏洞评价:

评论

  1. 2012-11-01 13:24 | liyang ( 路人 | Rank:25 漏洞数:11 | 低调 沉默 守望)

    注:非本人原创

  2. 2012-11-01 14:00 | Fate ( 实习白帽子 | Rank:51 漏洞数:5 | www.0hk.org)

    .............................!!!!

  3. 2012-11-01 14:15 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    我关注是关注评论的~

  4. 2012-11-01 14:45 | 猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)

    这个难道就是在微博上看见的那个一样?

  5. 2012-11-01 15:15 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    已售出480件?

  6. 2012-11-01 19:36 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    这个厂商知道啊,要是漏洞细节依然是复制的话,恶意刷rk,剑心有处罚吗

  7. 2012-11-01 21:34 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    可以刷销量不?

  8. 2012-11-01 21:56 | liyang ( 路人 | Rank:25 漏洞数:11 | 低调 沉默 守望)

    @冷静 呵呵 这rank有什么用么?其实看看吧,wooyun上也有很多微软的漏洞,也不是原创。但是发到这里来时为了给大家见识一下,增加一下经验,提供一种思路。

  9. 2012-11-01 22:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @liyang 支持

  10. 2012-11-01 22:53 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @liyang 如果能够有自己的思考就更好了,再次感谢!

  11. 2012-11-01 22:54 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    火了

  12. 2012-11-03 14:59 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @liyang 哦,不好意思,我只是觉得如果是完全复制粘贴多余了..

  13. 2012-12-06 14:49 | B1uH4ck ( 路人 | Rank:1 漏洞数:2 | 大牛们你们好,小弟刚来。)

    通过css查找元素更改内容?问题是淘宝有那么大的权限让你写javascript不?

  14. 2012-12-07 10:43 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @B1uH4ck 淘装修,可以设计装修模板的,模板就是用css做的

  15. 2012-12-08 21:10 | B1uH4ck ( 路人 | Rank:1 漏洞数:2 | 大牛们你们好,小弟刚来。)

    @一刀终情 喔,那控制元素简单多了。