当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021995

漏洞标题:梦芭莎网权限控制不严可导致72万用户信息泄露

相关厂商:moonbasa.com

漏洞作者: 专业种田

提交时间:2013-04-18 11:17

修复时间:2013-06-02 11:18

公开时间:2013-06-02 11:18

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-18: 细节已通知厂商并且等待厂商处理中
2013-04-18: 厂商已经确认,细节仅向厂商公开
2013-04-28: 细节向核心白帽子及相关领域专家公开
2013-05-08: 细节向普通白帽子公开
2013-05-18: 细节向实习白帽子公开
2013-06-02: 细节向公众公开

简要描述:

用户姓名、邮箱、地址、电话。
这点东西,估计厂商又入驻不了。

详细说明:

用户中心收货地址控制不严,地址id可以遍历:
从90000000001至90000720000 未去重复72万
http://member.moonbasa.com/addr/modaddr?id=90000720000

1.jpg


漏洞证明:

2.jpg

修复方案:

权限控制

版权声明:转载请注明来源 专业种田@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-04-18 12:34

厂商回复:

非常感谢

最新状态:

2013-06-07:漏洞4月18日修补完毕

漏洞评价:

评论

  1. 2013-04-17 12:00 | CNOS ( 路人 | Rank:20 漏洞数:3 | 小白一个)

    目测可以 找到 罩杯大的 用户

  2. 2013-04-17 14:45 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:165 | 没有最专业的农民,只有更努力地耕耘..........)

    @CNOS 目测不了,你打电话过去一个个问吧。

  3. 2013-04-18 12:38 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @CNOS 小伙子一下就看透了啊。。

  4. 2013-04-18 13:00 | lucky ( 普通白帽子 | Rank:409 漏洞数:81 | 三人行必有我师焉########################...)

    我还以为芭莎网来了呢!2万个人信息泄露!

  5. 2013-04-18 15:13 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:165 | 没有最专业的农民,只有更努力地耕耘..........)

    @lucky 我以为梦芭莎被你简写成芭莎了,还和他说你这里还有一个。

  6. 2013-04-18 15:29 | lucky ( 普通白帽子 | Rank:409 漏洞数:81 | 三人行必有我师焉########################...)

    呵呵!和我一样!

  7. 2013-06-02 12:10 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @CNOS 凶罩- -

  8. 2013-06-07 18:01 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    rank才8,厂商果然不注重客户

  9. 2013-06-07 20:00 | gniq ( 路人 | Rank:8 漏洞数:1 | 学习无止境,生活更美好)

    图呢???

  10. 2013-06-07 22:29 | 梦芭莎(乌云厂商)

    @蟋蟀哥哥 感谢您的意见,我们一直非常重视对客户信息的保护