当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015798

漏洞标题:京东商城低价货品免运费漏洞

相关厂商:京东商城

漏洞作者: 路人A

提交时间:2012-12-09 13:22

修复时间:2012-12-12 09:27

公开时间:2012-12-12 09:27

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-09: 细节已通知厂商并且等待厂商处理中
2012-12-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在京东商城购买商品是这样的收运费规定:单件或者多件商品合起来购买大于40元是免运费,如果不是就需要收取5元运费。通过一些特殊的购买方式,就算需要运费的购买也可以变免运费。

详细说明:

这种思路源于我在购买一本书大概20元,按正常的流程如果单是这样购买需要加到5元的运费。后边我又购买多一本书大概30元。这样一共50元就可以免运费。后边30元的书在我这边地区是缺货的,我选择优先发货原则。第一天哪天20元的书本是到了,我直接支付20元出来;第二天30元的书本才到。
这样看近的书本先到可以体验京东送货速度快,这里有个逻辑问题:如果还是我单是购买20元的书本,然后在网上取消或者在现实拒收30元的书本。 我购买20元的书本就成了免运费。这个漏洞可大可少,小就是对网站不像注入漏洞哪样会影响整个网站的数据,交易安全性;大就是如果其他人也这样利用会造成送商品的支付提高,想如果一个单是10元的货品,本来5元的运费就不高,还要免费。长期下去影响还是满大的。希望重视下。

漏洞证明:

选择任意目的一件低于30元在本地有的商品-----再另选一件不需要的在本地区缺省商品-------在下订单的时候注意选择优先发货原则。
收取目的商品之后-----在网上取消或者现实拒收不需要货品。

修复方案:

建议建立完善积分奖罚机制,一些商品到之后拒收就需要支持减少积花。一些积花可以对换等。你比我懂的

版权声明:转载请注明来源 路人A@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-12-12 09:27

厂商回复:

非常感谢您对京东商城的关注!

最新状态:

暂无

漏洞评价:

评论

  1. 2012-12-09 13:39 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    多件商品先发有货商品,之后取消一个么

  2. 2012-12-09 13:46 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    洞主完了。。。居然敢玩京东。。。等着收快递吧

  3. 2012-12-09 13:56 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @蟋蟀哥哥 京东肯定忽略的,黑名单之一

  4. 2012-12-09 16:55 | 路人A ( 路人 | Rank:0 漏洞数:1 | 关注生活逻辑漏洞,不强求无谓重复活动; 顺...)

    @小胖胖要减肥 眼光不错哦

  5. 2012-12-09 16:56 | 路人A ( 路人 | Rank:0 漏洞数:1 | 关注生活逻辑漏洞,不强求无谓重复活动; 顺...)

    @蟋蟀哥哥 不会这么严重吧,我就求个2百万。这么小的要求也不行

  6. 2012-12-09 20:04 | clzzy ( 普通白帽子 | Rank:176 漏洞数:18 )

    每天挣它500块!

  7. 2012-12-09 22:54 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    京东钻石会员.表示什么的免运费...无压力

  8. 2012-12-10 09:43 | 路过的菜鸟A ( 实习白帽子 | Rank:50 漏洞数:12 | 路人乙)

    校园用户……毫无压力

  9. 2012-12-10 10:20 | Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)

    土豪,毫无鸭力。

  10. 2012-12-10 17:00 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @only_guest 说不定就是改包成为砖石会员哦。。漏洞类型: 账户体系控制不严

  11. 2012-12-10 17:02 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @蟋蟀哥哥 那我也要改,最好能改积分直接刷库

  12. 2012-12-10 20:42 | 路人A ( 路人 | Rank:0 漏洞数:1 | 关注生活逻辑漏洞,不强求无谓重复活动; 顺...)

    @only_guest 都有钱任,有空借个帐号过来刷下

  13. 2012-12-10 20:43 | 路人A ( 路人 | Rank:0 漏洞数:1 | 关注生活逻辑漏洞,不强求无谓重复活动; 顺...)

    @小胖胖要减肥 期望可以出个直接刷女人漏洞

  14. 2012-12-13 11:03 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    缺陷关联: WooYun: 京东商城<39元商品不交运费 (物流流程设计缺陷)

  15. 2012-12-23 15:52 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    我记得京东,对于多次拒收 是有惩罚机制来着。。