当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093504

漏洞标题:房多多某处存在设计逻辑缺陷泄露15万条订单及大量敏感信息

相关厂商:fangdd.com

漏洞作者: 进击的zjx

提交时间:2015-01-23 16:41

修复时间:2015-01-28 16:42

公开时间:2015-01-28 16:42

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-23: 细节已通知厂商并且等待厂商处理中
2015-01-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

已来到乌云 174 天,Rank: 145
Rank赶不上天数的白帽子都是不勤快的懒人,努力追赶反超中……

详细说明:

WooYun: 房多多某系统存在弱口令
看了这个洞洞,试了试
https://yun.fangdd.com/basic/login/login
账号test
密码asdQWE123@
显示账户已禁用!说明针对之前的漏洞进行了修补工作。

1.png


但是之后在浏览器输入新地址http://yun.fangdd.com/basic/user/my 时,账户神奇的处于登陆成功状态了!

2.png


分析一下原因:
对比下登陆前后cookie信息

10.png


11.png


虽然显示账户禁用,但是分配了一个FDDKEEPINGID,限时24分钟
虽然页面没有自动跳转到账户界面,但是实际上的逻辑已经赋予了权限,只要手动输入正确的url即可成功进入账户界面。
近千合作项目,泄露合作房地产商项目经理姓名电话

3.png


近15万条订单信息,并可随意取消订单!点开具体订单,客户信息是没打码的。

4.png


泄露快钱相关信息:交易参考号,缩略卡号

5.png


4500条结算清单,可任意修改发票。中介费好高

6.png


让我去收款可好?!百万级别!

7.png


泄露付款方账号,姓名,电话等信息

8.png


最后可能被利用非法刷钱的地方:退款审核

9.png


分分钟上百万不是梦!

漏洞证明:

如上所示了

修复方案:

只是截图做危害演示,未修改任何数据,也未做任何越权操作。
求礼物,求20rank

版权声明:转载请注明来源 进击的zjx@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-01-28 16:42

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

2015-01-29:谢谢。

2015-03-19:已联系wooyun君补上rank,目前我司已建立较为良好的漏洞响应处理机制,再次感谢“进击的zjx”的友情检测~,请“进击的zjx”与我们联系,稍后将寄出小礼品,已表敬意和歉意!

漏洞评价:

评论

  1. 2015-01-23 16:58 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)

    累觉不爱了,又是小厂商。。。 @浩天 @xsser @疯狗 能告知大厂商流程具体量化标准嘛!

  2. 2015-01-28 17:01 | 雨天行 ( 路人 | Rank:3 漏洞数:1 | 我只是一个过客,路过就路过了。)

    这么严重的问题都没有重视。

  3. 2015-01-28 18:08 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)

    @雨天行 估计厂商不在,5天过后自动忽略了