当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079108

漏洞标题:淘宝网查看任意淘宝账号的信息(姓名、手机、邮箱)

相关厂商:淘宝网

漏洞作者: 谢祥应

提交时间:2014-10-13 12:48

修复时间:2014-11-27 12:50

公开时间:2014-11-27 12:50

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-13: 细节已通知厂商并且等待厂商处理中
2014-10-13: 厂商已经确认,细节仅向厂商公开
2014-10-23: 细节向核心白帽子及相关领域专家公开
2014-11-02: 细节向普通白帽子公开
2014-11-12: 细节向实习白帽子公开
2014-11-27: 细节向公众公开

简要描述:

淘宝会员电话泄露,一场大规模的钓鱼。。。。悄然开始
可以干什么呢?
嗯 看你买情趣用品了 查你电话问问舒服不 我这有个更好的产品你试试?

详细说明:

拍下一件商品后申请代付,写上需要查的淘宝账号,到确认时查找源代码,找到(<input type="hidden" name="peerPayerCardNo" value="2088412456214924") />

QQ截图20141012163157.png

,当然,这步也可以在代付记录里审核元素查看,然后在火狐上模拟手机访问网页,跳转到手机版付款界面,选择其他方式支付。

QQ截图20141012163336.png

QQ截图20141012164329.png

QQ截图20141012173334.png

具体看漏洞证明的视频吧。。。
栗子:https://wap.alipay.com/personal/addContacts.htm?userId=2088802055471039

漏洞证明:

具体看视频,有点模糊http://www.56.com/u84/v_MTI3MTY5MTM3.html
不然就下载视频文件
http://url.cn/U25R8n

修复方案:

你们比我更懂

版权声明:转载请注明来源 谢祥应@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-10-13 16:33

厂商回复:

感谢您对我们的支持与关注,该问题正在修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-10-13 16:36 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    这个漏洞屌,根据危害程度,10分低了点吧?

  2. 2014-10-13 20:14 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    屌丝男!

  3. 2014-10-13 20:19 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    这个会火!摄像哥哥把你机子对准我!- 。 -

  4. 2014-10-14 08:13 | webshell ( 实习白帽子 | Rank:58 漏洞数:18 | 没有伞的孩子必须努力奔跑。)

    火前留名。。。学挖掘机技术哪家强?

  5. 2014-10-14 09:17 | 我真的不帅 ( 路人 | Rank:19 漏洞数:7 | 今朝有酒今朝醉,天道茫茫何所求)

    前排广告位出售...碉堡了

  6. 2014-10-14 12:43 | 谢祥应 ( 路人 | Rank:10 漏洞数:1 )

    @机器猫 何止是屌丝。。。。

  7. 2014-10-14 13:17 | 0x334 ( 普通白帽子 | Rank:171 漏洞数:35 | 漏洞无影响,已忽略~~~~~~~)

    哥们你这洞要是能和订单联系起来就牛逼了

  8. 2014-10-14 19:00 | 谢祥应 ( 路人 | Rank:10 漏洞数:1 )

    @0x334 采集全网没有匿名的成交记录,然后根据ID查支付宝姓名电话,这就成了订单了。。。

  9. 2014-10-14 19:51 | q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)

    记者通知,拍这里,摄影机对准这里,对,就是这里

  10. 2014-11-27 20:55 | Seven.Sea ( 实习白帽子 | Rank:76 漏洞数:24 | 唯有安全与美食不可辜负。)

    亮瞎了。

  11. 2014-12-02 23:43 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

    混脸熟 技术N加QQ 5737796

  12. 2015-07-14 00:27 | !毁灭! ( 路人 | Rank:0 漏洞数:1 | 我的人生 没有简要介绍 全是一笔带过)

    师傅,还是那么风骚