当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06409

漏洞标题:淘宝网:普通旺旺号能够使用"来自商城评价",进行信用抄作行为

相关厂商:淘宝网

漏洞作者: 路人甲

提交时间:2012-04-26 18:05

修复时间:2012-05-01 18:06

公开时间:2012-05-01 18:06

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-04-26: 细节已通知厂商并且等待厂商处理中
2012-05-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

普通旺旺号购买商品成功交易后,能够使用商城评价,在评价前有个系统自带的"来自商城评价".在卖家信用评价展示上不显示积分,好评率!在历史信用构成上有信用积分!卖家利用此漏洞进行炒信行为!

详细说明:


漏洞证明:

旺旺评价例1:
http://rate.taobao.com/rate.htm?user_id=513654397&rater=1
http://rate.taobao.com/rate.htm?user_id=164801632&rater=1
http://rate.taobao.com/rate.htm?user_id=161711955&rater=1
炒信店铺例2:
http://rate.taobao.com/rate.htm?user_id=34904440
http://rate.taobao.com/rate.htm?user_id=159677514
http://rate.taobao.com/rate.htm?user_id=716416903

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-05-01 18:06

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2012-04-27 22:16 | 123luckydog ( 路人 | Rank:3 漏洞数:4 | 合作请拨打24小时热线:4008-517-517)

    跟这个漏洞的评论放在一起就是:WooYun.org | 自由平等的刷钻交流平台我们和大家一起一直在努力 :) WooYun: 淘宝卖家0元加入消保,并且点亮消保图标,不用话1000元了 JUST KIDDING!!!