当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017877

漏洞标题:朵朵-时尚购物网用户名,密码,Email赤裸裸泄露

相关厂商:朵朵网-时尚购物

漏洞作者: xfkxfk

提交时间:2013-01-25 15:48

修复时间:2013-03-11 15:48

公开时间:2013-03-11 15:48

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-03-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

朵朵-时尚购物网用户名,密码,Email,订单赤裸裸泄露。。。
基本上注册过的用户都跑不掉,跟拖库一样给力。。。

详细说明:

1、朵朵网-时尚购物在每一个用户注册完后,就会在”我的账户“里面发一条站内消息,这个消息包含了注册用户的用户名,密码,Email信息。
2、在站内消息里面可以给其他用户发消息,可以给管理员发消息,也有管理员给你发的消息,还有修改密码后也会发消息到站内信息,相当于你的注册邮箱,只要有动静就给你发消息,包括订单号,修改的新密码等等。。。
2、当我查看自己的站内消息后,有回复功能,点击回复后,看url里面有个数字编号,每条消息对应一个编号,而且是顺序递增的,这下就好奇了,看看其他编号的信息时,果然可以看。

url地址:
http://www.duoduo.com.cn/?member-数字编号-reply-message.html


3、既然这样,我们可以查看第一条信息,一直到最后一条所有信息。

这是比较早的注册用户的站内信息,是一条账户注册消息,有用户名,密码,Email。。。
第9条消息,我当时注册时的消息已经是15000多了。
url地址:
http://www.duoduo.com.cn/?member-9-reply-message.html


.jpg


4、那么我们可以写一个脚本,就能把所有的账户信息趴下来了。。。

def get_info():
    i = range[0,x] //x为最后一条信息的ID编号
    url = "http://www.duoduo.com.cn/?member-" + i + "-reply-message.html"
    data = openurl(url)
    patt = re.compile('匹配info的关键字') 
    info = re.findall(patt,data)

漏洞证明:

.jpg

修复方案:

判断账户权限。
这些敏感信息就不要发到站内了。。。

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-01-25 16:07 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    脚本已经完成,成功爬去用户名,密码,Email等信息。。。