当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020453

漏洞标题:中粮我买网删除任意用户信息

相关厂商:中粮我买网

漏洞作者: zzR

提交时间:2013-03-22 12:02

修复时间:2013-05-06 12:03

公开时间:2013-05-06 12:03

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-22: 细节已通知厂商并且等待厂商处理中
2013-03-22: 厂商已经确认,细节仅向厂商公开
2013-04-01: 细节向核心白帽子及相关领域专家公开
2013-04-11: 细节向普通白帽子公开
2013-04-21: 细节向实习白帽子公开
2013-05-06: 细节向公众公开

简要描述:

权限问题

详细说明:

我买网由于水平用户权限问题,可删除任意用户地址信息。
1·用户1 在我的地址簿 新建一个收获地址

1.png


同时,关注一下下面的addressId=4473968 ,这个作为被删除的目标。
2·登陆用户2 ,做一个删除地址的请求
可以看到这是个post请求,请求的内容为addressId值
如果直接更改这个post参数,你会发现是不成功的!
3·将此post请求改为GET

post请求.png


将addressid值改一下replay一下吧

replay.png


看返回是0,,,,,这个就是成功啦,若是1,,,,,那就是有问题滴。
返回用户1 去看刚刚新建的addressId=4473968的地址,已经没有啦

.png

漏洞证明:

已细说

修复方案:

这里的地址删除操作是可改成GET请求的,那我们可以遍历id就能把所有的用户地址信息删除了,就是不知道你们这个地址id是不是可遍历,仅测试哦。

版权声明:转载请注明来源 zzR@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-03-22 21:22

厂商回复:

嗯。。。确认漏洞,我们立即安排修复。感谢洞主提交。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-22 12:04 | 雅柏菲卡 ( 普通白帽子 | Rank:1213 漏洞数:232 | 雙魚座聖鬥士雅柏菲卡)

    额…… 任意…… 额 囧死……

  2. 2013-03-22 13:14 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:41 | 真正的安全并不是技术,而是人类善良的心灵...)

    弱弱的问一下洞主,是不是删除用户的,站内“我的信息”“发件箱”、“收件箱”啊

  3. 2013-03-22 14:50 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:111 | 收wb 1:5 无限量收 [平台担保])

    @刺刺 没试过