当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141601

漏洞标题:土巴兔某处严重漏洞可登陆任意账号(以管理员为例)

相关厂商:土巴兔装修网

漏洞作者: Martial

提交时间:2015-09-16 16:39

修复时间:2015-10-31 17:36

公开时间:2015-10-31 17:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-16: 细节已通知厂商并且等待厂商处理中
2015-09-16: 厂商已经确认,细节仅向厂商公开
2015-09-26: 细节向核心白帽子及相关领域专家公开
2015-10-06: 细节向普通白帽子公开
2015-10-16: 细节向实习白帽子公开
2015-10-31: 细节向公众公开

简要描述:

判断不严谨导致的~

详细说明:

问题出在APP 装修 我们先登陆下 抓到数据包

1.jpg

然后修改返回值

2.jpg

{"tips":"1","uid":"119000","status":"ok"} uid决定了你登陆的是那个账号 我们来修改下

3.jpg

4.jpg

然后我改为uid为1 登陆管理员账号试试

5.jpg

漏洞证明:

IMG_0291.PNG


IMG_0292.PNG


还能发公告 我就不写了 这个用来诈骗钓鱼 会有啥结果! 不敢想

IMG_0293.PNG

修复方案:

修改逻辑

版权声明:转载请注明来源 Martial@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-09-16 17:35

厂商回复:

这个显示是管理员昵称 但没有管理员权限 感谢对土巴兔安全的支持

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-16 17:41 | Martial ( 普通白帽子 | Rank:1335 漏洞数:215 )

    @土巴兔装修网 看下我后面补的图

  2. 2015-09-16 17:46 | Martial ( 普通白帽子 | Rank:1335 漏洞数:215 )

    没有管理员权限,怎么能看到所有的优惠券,还有可以用admin发日记