当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0154139

漏洞标题:搜房某站设计缺陷信息泄露和支付漏洞打包

相关厂商:sofang.com

漏洞作者: fuzz-ing

提交时间:2015-11-18 17:55

修复时间:2015-11-25 09:00

公开时间:2015-11-25 09:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-18: 细节已通知厂商并且等待厂商处理中
2015-11-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

昨天的洞,今天网站打不开了,不知道是不是发现了支付问题,临时停掉了。

详细说明:


旗下家居商城 shop.jiatx.com
第一个信息泄露,登录后正常下单,修改收获地址,id值可以遍历,可以fuzz

1.jpg


2.jpg


3.jpg


第二个支付漏洞,抓包可以数量改为负数,直接不用付钱,直接购买成功

4.jpg


漏洞证明:

如上

修复方案:

逻辑修复

版权声明:转载请注明来源 fuzz-ing@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-11-25 09:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2015-11-21 09:41 | fuzz-ing ( 普通白帽子 | Rank:130 漏洞数:31 | 其实一开始要我挖洞我是拒绝的,因为不能你...)

    @浩天 给错厂商了,应该是那个fang.com, 漏洞多那个厂商