漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-086148
漏洞标题:tcl核心业务系统缺陷测漏海量淘宝、京东等电商平台用户信息
相关厂商:TCL官方网上商城
漏洞作者: 白非白
提交时间:2014-12-06 16:43
修复时间:2015-01-20 16:44
公开时间:2015-01-20 16:44
漏洞类型:重要敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-12-06: 细节已通知厂商并且等待厂商处理中
2014-12-07: 厂商已经确认,细节仅向厂商公开
2014-12-17: 细节向核心白帽子及相关领域专家公开
2014-12-27: 细节向普通白帽子公开
2015-01-06: 细节向实习白帽子公开
2015-01-20: 细节向公众公开
简要描述:
千里之堤毁于蚁穴。
刚下完订单就收到诈骗信息,问题出在哪儿???
详细说明:
tcl esb数据管理平台
http://125.93.53.5:8081/admin
弱密码admin/123456,test/test
功能强大的管理平台,从此平台可以看出tcl的电商运转全貌,包括库存、财务、物流、销售。
#1 后台的功能全貌一览
#2 esb系统涉及服务配置
该系统拥有丰富的api接口,用于实现各种数据的查询与处理,其中大类如下:
#3 接口资源:主要是财务,物流,订单
从图中的接口名称可以看出,可以获得的订单包括:淘宝、tcl官网、碰碰团购、1号店、当当、拍拍等。
#4 选择一个接口“获取淘宝订单”右键选择店铺管理功能,可以查到tcl在淘宝的所有店铺,可以看到这些店铺的订单均由此系统管理。同理也可以获得其他平台店铺信息。
淘宝店铺:
1号店:
#5 该平台有两个配置项:esb配置,接口配置。同时也有两个数据监控项目:esb数据监控,接口数据监控,用于从配置项的appkey和接口获取数据。esb数据监控非我们所关心的,一图带过,主要涉及物流信息(物流信息也是非常重要的)。
#6 重点来了,从接口数据监控可以获取各平台的订单信息,其中包括平台帐号(比如淘宝帐号等),下单人姓名,收货地址,联系方式等等。
淘宝网约180万条用户信息泄露:
从系统中保存的销售订单原始数据中可以提取出用户数据,包括用户名(由于淘宝可以用户名登录,配合社工库撞库也是一大隐患)。
除了淘宝还有其他平台的用户信息:
漏洞证明:
以上仅为演示说明,未恶意修改或窃取数据,敏感信息已打码。
修复方案:
1.重要系统不要对外开放访问权限
2.弱密码。
版权声明:转载请注明来源 白非白@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-12-07 20:56
厂商回复:
感谢你的工作,已转交相关单位处理。
最新状态:
暂无