当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07745

漏洞标题:中国才储测试费用支付任意金额修改及敏感信息泄露

相关厂商:中国才储

漏洞作者: sinck

提交时间:2012-05-31 16:04

修复时间:2012-07-15 16:04

公开时间:2012-07-15 16:04

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-05-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-07-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

中国才储测试费用支付任意金额修改及敏感信息泄露

详细说明:

中国才储是一个人力资源服务相关的网站,包含有各项在线测试,如MBTI性格分析,职业性格测试啥的。
今天偶然想测试下自己的职业性格,完了需要付费,支付的时候顺手试了下,发现有比较严重的问题,如下:
1.支付金额任意修改,并且不影响支付成功的确认及后续服务的提供,花了1分钱买了原价5元的测试。问题出在且不仅仅这个url(因其在线测试不止一种):
http://www.apesk.com/mensa/js_asp_gb_juankuan_pdp/index001juankuan.asp?formlink=12&liangbiao=PDP
直接拿firebug把5.00改成0.01就可以了,没敢改0.00
2.需要付费才能察看的测试结果页除url和id外无任何验证,导致只要知道这个id和url就可以无限制的免费使用本来需要付费的测试
url在: http://www.apesk.com/mbti/submit_email_date.asp?user=315813
察看自己的测试结果只需改下id就OK

漏洞证明:


这个是改成1分钱的截图,其余由于问题已经很明确,就不多贴了,问题不复杂

修复方案:

1.对于支付金额进行校验
2.对于查询人的身份进行校验,比如查询后给带个key,只有查询后key正确且已经支付的测试id才能察看结果,防止未支付察看付费内容,也防止滥用查询察看他人测试结果(虽然设计隐私不大)。

版权声明:转载请注明来源 sinck@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论