当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0163999

漏洞标题:拉卡拉某处漏洞可泄露用户信息(姓名、手机号码、详细住址)

相关厂商:拉卡拉网络技术有限公司

漏洞作者: inforsec

提交时间:2015-12-24 10:00

修复时间:2016-02-07 17:56

公开时间:2016-02-07 17:56

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-24: 细节已通知厂商并且等待厂商处理中
2015-12-25: 厂商已经确认,细节仅向厂商公开
2016-01-04: 细节向核心白帽子及相关领域专家公开
2016-01-14: 细节向普通白帽子公开
2016-01-24: 细节向实习白帽子公开
2016-02-07: 细节向公众公开

简要描述:

拉卡拉某处泄露大量用户信息(姓名、手机号码、详细住址),数据持续更新中,求重视!

详细说明:

首先我们百度下:site:*.lakala.com 订单详情

11.png


打开第一条链接:
http://mall.lakala.com/orders/vieworder?ot=1433293292418&orderId=20150603303235

12.png


显示了订单的详细信息,包括用户姓名、电话、详细住址等。
但是当我们进行修改orderID的时候发现都会跳转回首页,只能作罢。
介于百度上没有搜索到更多信息,我们再打开360好搜试试:

13.png


只有两条记录,链接跟之前的差不多,都无法进行轻易遍历。接下来只能求助大神了,翻墙,上google搜索,果然有惊喜:

14.png


打开链接:
mall.lakala.com/purchases/cancelorder?orderId=20140301195050
发现它会自动跳转到另一个链接:
http://mall.lakala.com/orders/vieworder?ot=1393892046389&orderId=20140301195050
对后者进行遍历行不通,那么我试试前者如何,修改orderId为20140301195051,果然可以:

15.png


对比了下orderId以及处理时间,我们发现处理时间的年月日与orderId的前几位一致,那么我们尝试着遍历后2位看看效果如何,若是正常,则返回302,若是不正常则是500:

17.png


还不错,100个请求出现了81个正常返回。
但是有个很奇怪的一点,我们将前几位随机修改成正常的年月日的却很少有正常的返回。由此推断出拉卡拉团队并不是每天都会进行cancleorder的处理,那应该还会有正常order的处理。既然google里找不到我们想要的,我只能拿出压箱底的技能了,上bing!

18.png


收获大大的,有木有!

19.png


还有最新的支付信息:

20.png


糯米网的最新的消费信息!

漏洞证明:

修复方案:

你们比较专业,但别忘了找各大搜索把快照清一清。

版权声明:转载请注明来源 inforsec@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-12-25 09:56

厂商回复:

产品需求差异,已修复。

最新状态:

2015-12-25:已经修复


漏洞评价:

评价