当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08541

漏洞标题:唯品会任意修改其他用户密码漏洞

相关厂商:唯品会

漏洞作者: 唐尸三摆手

提交时间:2012-06-20 12:19

修复时间:2012-06-25 12:19

公开时间:2012-06-25 12:19

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-06-20: 细节已通知厂商并且等待厂商处理中
2012-06-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

由于某些逻辑的设计中存在缺陷,攻击者可以修改任意其他用户的密码,从而完全控制其他用户的账户,查看详细住址,电话,订单记录等敏感信息,甚至进行其他的消费操作

详细说明:

使用目标邮箱找回密码,这里写我的测试账号


注意其中的关键逻辑

http://www.vipshop.com/account/password.php?act=step1_1&sess=37RH%2FtIcJ10k6yDePpel4TkSy4qjayXDn2VWybxgyns%3D


step1_1是不是表示找回密码的步骤呢,这样我们可以尝试直接进入后面的逻辑


还真可以呢,注意那个sess似乎是代表了我们的身份,是唯一的,这里程序都替我们生成好了,最后修改密码

漏洞证明:

还要证明么?证明就把我抓起来了

修复方案:

你懂得

版权声明:转载请注明来源 唐尸三摆手@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-06-25 12:19

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2012-06-20 12:24 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    我信洞主

  2. 2012-06-20 12:32 | king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)

    有泄漏用户的注册资料的么?木有的话 应该只能评10分

  3. 2012-06-20 12:34 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @king 密码都修改了只10分?

  4. 2012-06-20 12:37 | king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)

    你不知道人家账号 你怎么改

  5. 2012-06-20 12:42 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @king 管理员账号很容易获得啊

  6. 2012-06-20 12:44 | king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)

    那要把话说完啊,我们做评估,信息应该准确点,,不能让别人去猜测影响!!

  7. 2012-06-20 12:49 | king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)

    其实感觉乌云也可以出个比较好点评分标准,这样就不会自己觉得可以评多少,有个标准更有说服力呀

  8. 2012-06-20 16:08 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    坐等公开!!!!

  9. 2012-06-25 12:22 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    哈哈。被公开了

  10. 2012-12-10 09:20 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @一刀终情 管理账号不好猜呀 @king @唐尸三摆手 和4L 同样的疑问,这个没有登录,那改的是谁的密码?表示疑问

  11. 2013-01-09 12:07 | 唐尸三摆手 ( 普通白帽子 | Rank:134 漏洞数:9 | 摆手啊摆手啊摆手!!)

    @zzR 没有登陆的时候你不是找回过密码么 那么其中的session已经确认为被找回密码的人的了