当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018344

漏洞标题:寺库网(SECOO)查看任意用户订单,全是奢侈品啊

相关厂商:寺库中国

漏洞作者: xfkxfk

提交时间:2013-02-05 11:08

修复时间:2013-03-22 11:08

公开时间:2013-03-22 11:08

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-05: 细节已通知厂商并且等待厂商处理中
2013-02-05: 厂商已经确认,细节仅向厂商公开
2013-02-15: 细节向核心白帽子及相关领域专家公开
2013-02-25: 细节向普通白帽子公开
2013-03-07: 细节向实习白帽子公开
2013-03-22: 细节向公众公开

简要描述:

寺库网(SECOO)——寺库是目前国内规模最大、品类最全的高端奢侈品折扣平台。
存在查看任意用户订单漏洞,里面全是几千几万的奢侈品啊,都是有钱淫。。。

详细说明:

这里是测试,不想注册,就随便试了几个账户,然后就拿tester这个用户进行测试了。


1、首先自己下了个订单,然后看了下我的订单详情:

url地址:http://www.secoo.com/userCenter/orderCtrl/detail?orderId=201302044685


看见url里面有个orderId,然后就好奇了,能不能看其他订单信息呢?
然后就随便改一个orderId号:

url地址:http://www.secoo.com/userCenter/orderCtrl/detail?orderId=201302044682


果然看到了订单详细信息,大喜,我的乖乖的,里面都是好东西,不好的是,用户的信息全部泄露了,姓名,手机号码,详细送货地址,邮箱,邮编等等,太可怕了,赤裸裸了。。。
2、刚开始以为这个orderId是有当前年月日+4位伪随机数组成,为了证明订单号的规律,然后就暴力遍历了一下,我从

20130204111——20130204555

为payload,开始遍历了一下哪些是有效的订单号,最后发现这个订单号的4位随机数是连续的!!!从遍历的结果中可以看出来。
3、下面我们来看看漏洞证明:

漏洞证明:

1、我自己生成的订单:

.jpg


2、随机猜测的订单号:

0.jpg


3、暴力遍历一下有效订单号,从返回长度很容易看出哪些payload是有效订单号:

payload.jpg


.jpg


4、看一下遍历出来的有效订单的详细信息,这里就列出其中三个。

1.jpg


2.jpg


3.jpg

修复方案:

控制用户权限。
求rank,求礼物,求修复。。。

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2013-02-05 13:43

厂商回复:

该漏洞已弥补,感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2013-02-05 11:46 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    有特么一个奇葩厂家呀-_-||

  2. 2013-02-05 11:50 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    你好,我是寺库中国技术负责人,我公司已发现并弥补该漏洞,请去除该漏洞信息,谢谢。..这个简介。。。

  3. 2013-02-05 11:53 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @瓜瓜 你好,我是没办法取出的,请@wooyun

  4. 2013-02-05 11:59 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    @xfkxfk 呃。。我不是厂商。。。我看到厂商的简介了。。。@xsser

  5. 2013-02-05 12:37 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @瓜瓜 哦,吓死我了,我以为你就是厂商列,才看到厂商信息

  6. 2013-02-05 13:54 | 寺库中国(乌云厂商)

    你们好,我是寺库中国技术负责人,请@xfkxfk确认漏洞修复,请@wooyun协助消除该消息。谢谢。

  7. 2013-02-05 14:43 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @风萧萧 @se55i0n 好像厂商不欢迎我们 你们上

  8. 2013-02-05 14:56 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @寺库中国 验证已修复,不能看到其他用户的信息了,挺快的额

  9. 2013-02-05 14:57 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @小胖胖要减肥 @风萧萧 @se55i0n 能来wooyun的厂商应该都挺关注安全的,它们不会这么小气吧?!

  10. 2013-02-05 17:07 | 寺库中国(乌云厂商)

    各位好 @瓜瓜 @小胖胖要减肥 @风萧萧 @se55i0n @xfkxfk ,首先感谢各位为寺库中国的漏洞做出的建议,我们很欢迎各位在网站安全方面做出的贡献,对于已经发现了漏洞我们已经在进行修改,只是处于安全考虑,请在公开的漏洞描述中简单描述问题,不要过于详细,防止别有用心的人理解问题所在,进行恶意炒作,也请理解我们的顾虑,再次感谢各位。

  11. 2013-02-05 18:36 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    这。。。。厂商略犇

  12. 2013-02-05 21:01 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @小胖胖要减肥 你@我干什么,奇葩厂商没兴趣~

  13. 2013-02-06 10:19 |  ( 路人 | Rank:17 漏洞数:3 | 博客寻友链 http://imlonghao.com/)

    在我的记忆中乌云没有删过一个漏洞,除了手快发多的。。

  14. 2013-02-06 13:47 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @ 你的ID很不错啊~

  15. 2013-03-07 21:20 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    请求删除漏洞的违反乌云精神了吧

  16. 2013-03-22 21:34 | circus ( 实习白帽子 | Rank:54 漏洞数:4 | 你会为一件事去说一句话,也会为一句话去干...)

    @寺库中国 已经公开了好不好- -既然漏洞修复了 也无妨了。