当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114234

漏洞标题:酷配网盲打后台可冻结、重置10W+买卖家密码

相关厂商:酷配网

漏洞作者: 千斤拨四两

提交时间:2015-05-15 12:41

修复时间:2015-06-29 12:42

公开时间:2015-06-29 12:42

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

运营方广东酷配电子商务有限公司,旗下拥有酷配网、华南国际汽配城、广东酷配科技有限公司(深圳)、炜文实业投资有限公司。酷配网创建于2010年,前期投入资金10亿元,团队具备多年汽配专业市场运营经验,拥有众多互联网精英及汽车后市场专业人才,经过数年发展,已成为国内最具影响力的汽车后市场电商平台[1] 。2011年获得中国互联网络信息中心(CNNIC)授予的“可信网站示范单位”称号,2013年被评为“中国汽车后市场最具影响力电子商务平台

详细说明:

0x1:前段有框框,这养成的毛病,是见框框就插,碰碰运气。

4.png


在标题框中插入code提交之后就等待cookie吧!
饼干到了,投诉建议的接口竟然没有验证身份,不过没关系有管理员的cookie还是可以访问后台的!

5.png

漏洞证明:

0x2:现在有了cookie就登录后台吧,看到后台惊呆了各种卖家买家的信息,而且还有订单号耶,不过好像都是测试用的(不要查水表,我什么都没做)

1.png


买家的9W+买家1W+,这下子可好了!

2.jpg


3.png

修复方案:

挖洞不易,求给良心rank,呜呜~~~~~
过滤敏感字符,净化参数!

版权声明:转载请注明来源 千斤拨四两@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)


漏洞评价:

评论

  1. 2015-06-29 14:49 | 清清侠 ( 普通白帽子 | Rank:128 漏洞数:15 | %0d%0a)

    我也搞到这个了,不过联系厂商,他们没理我。。

  2. 2015-06-29 15:47 | 千斤拨四两 ( 普通白帽子 | Rank:510 漏洞数:88 | 是时候表演真正的技术了。。。)

    @清清侠 好久没见你了!!!