当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119942

漏洞标题:春水堂情趣用品电商功能越权可泄露20W+用户信息(姓名/电话/地址)

相关厂商:chunshuitang.com

漏洞作者: 小饼仔

提交时间:2015-06-12 13:58

修复时间:2015-07-27 14:04

公开时间:2015-07-27 14:04

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-12: 细节已通知厂商并且等待厂商处理中
2015-06-12: 厂商已经确认,细节仅向厂商公开
2015-06-22: 细节向核心白帽子及相关领域专家公开
2015-07-02: 细节向普通白帽子公开
2015-07-12: 细节向实习白帽子公开
2015-07-27: 细节向公众公开

简要描述:

唉~
泄露了用户的姓名、电话、地址。
不要问我为什么会发现,我不是去买娃娃的!

详细说明:

因为漏洞比较容易发现,为了避免泄露厂商信息,提交漏洞时,问题厂商填了 某情趣用品电商
某深夜睡觉前看网易新闻,看到了一则关于情趣用品电商的新闻,然后就有了这个漏洞
电商地址:

http://www.chunshuitang.com/


简介

春水堂全名为北京春水堂商业连锁有限公司,创立于2003年1月,取义于南唐大词人冯延巳传诵千年的浪漫古词“风乍起,吹皱一池春水。闲引鸳鸯香径里,手挼红杏蕊……”
        春水堂已经成为中国情趣文化的倡导者,其创始人蔺德刚的著作《成人之美》,被出版界誉为夫妻情趣生活的教科书。


问题:
主站和m站,查看、修改收货地址处存在越权,app端估计也有,厂商自己测一下吧
修改地址ID即可查看其他用户收货地址
一共有两处,一处需要登陆,一处不需要
1. 不需要登陆
访问 

http://buy.chunshuitang.com/address/select/?addid=2222


修改后面的addid即可查看

1.png


2.png


3.png


2. 需要登陆
登入后,直接访问以下地址:

http://user.chunshuitang.com/address/edit/?addid=20000


修改addid即可查看其它用户

4.png


5.png


漏洞证明:

标题里的20W+用户可能有点不准确,因为可能一个人对应多个收货地址。
提交漏洞前新增了一个地址,addid=224675,因为ID是连续的,且大多数人都是对应一个收货地址,所以写了20W
还有几个问题,这里再提一下
1. 登陆处可以爆破,没有验证码,POST请求里面有个hashstr,以为是防止CSRF的,结果发现这个值为固定值。
2. 添加、修改地址处存在CSRF,虽然请求里有个hashstr,但是和1一样,为固定值。其它功能厂商自己排查下。
主站和m站都有这个问题,app端厂商自测下吧。

修复方案:

没有做任何破坏,只是证明问题~
哈哈,送点优惠券和兑换码可好~~

版权声明:转载请注明来源 小饼仔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-06-12 14:03

厂商回复:

感谢小饼仔!漏洞已修复

最新状态:

2015-06-12:漏洞已经修复

漏洞评价:

评论

  1. 2015-06-12 10:58 | SPRITEKING ( 路人 | Rank:18 漏洞数:3 | x)

    噗... 要

  2. 2015-06-12 13:59 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    噗... 要

  3. 2015-06-12 14:03 | 春水堂(乌云厂商)

    感谢乌云白帽子的及时发现我们已经修复,春水堂一直以来十分重视用户隐私!感谢大家!!!

  4. 2015-06-12 14:05 | emeditor ( 路人 | Rank:2 漏洞数:1 | 过来乌云学习 求大神别黑)

    说吧 你为什么会发现

  5. 2015-06-12 14:09 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @emeditor 我不是去买女朋友~

  6. 2015-06-12 14:10 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @春水堂 厂商修复速度赞一个~

  7. 2015-06-12 14:13 | 春水堂(乌云厂商)

    @小饼仔 感谢小饼仔,送你个娃娃哈。

  8. 2015-06-12 14:16 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    @春水堂 可联系@肉肉在乌云集市上架

  9. 2015-06-12 14:25 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @春水堂 送点女朋友?

  10. 2015-06-12 14:35 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @春水堂 良心厂商啊~~ 送点其他东西就好了,娃娃什么的还是````

  11. 2015-06-12 14:37 | JiuShao ( 普通白帽子 | Rank:405 漏洞数:94 | ╮(╯▽╰)╭锄禾日当午)

    洞主我很好奇的是你怎么在会情趣用品商城发现越权?

  12. 2015-06-12 14:40 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @春水堂 娃娃什么的还是````,可以接受的!哈哈哈

  13. 2015-06-12 14:41 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @JiuShao 不要在意这些细节,关心漏洞...漏洞

  14. 2015-06-12 14:46 | 春水堂(乌云厂商)

    春水堂一直以来十分重视用户隐私!未造成任何用户隐私泄露。谢谢@小饼仔!!!

  15. 2015-06-12 14:48 | 白开水 ( 普通白帽子 | Rank:242 漏洞数:27 | 苍茫的天涯是我的爱~)

    @春水堂 别老口头上感谢,先送个娃娃以示敬意!

  16. 2015-06-12 15:01 | 小不点 ( 普通白帽子 | Rank:751 漏洞数:78 | 生命不息,刷洞不止.....)

    你们干嘛要别人的娃娃,自己生个去不就行了.....>_<

  17. 2015-06-12 15:14 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @春水堂 Hi,已接受~~