当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-097371

漏洞标题:掌阅ireader手机APP存在设计缺陷可使用任意他人账户消费

相关厂商:zhangyue.com

漏洞作者: MelodyZX

提交时间:2015-02-16 10:20

修复时间:2015-04-02 10:22

公开时间:2015-04-02 10:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-16: 细节已通知厂商并且等待厂商处理中
2015-02-28: 厂商已经确认,细节仅向厂商公开
2015-03-10: 细节向核心白帽子及相关领域专家公开
2015-03-20: 细节向普通白帽子公开
2015-03-30: 细节向实习白帽子公开
2015-04-02: 细节向公众公开

简要描述:

RT

详细说明:

问题是由于服务器在部分功能中对用户ID以及登录ID验证的关联认证不够完善所导致的。
在用户个人信息中,其抓取的URL格式如下

http://ah2.zhangyue.com/zybook/u/p/user.php?key=1U1&usr=iXXXX7591&rgt=7&p1=150213162338630022&pc=10&p2=108695&p3=770003&p4=501603&p5=19&p6=&p7=JJAAAFFFJJGIEH&p9=2&p12=&p16=Coolpad+V1-C&p21=3&p22=4.4.4&zysid=d295ceb19323e12b7bb4c8b0760620c0&zysign=R0mUI23JFammzJpCL3noDVYCh6eetuq2VVm%2BMJODSDzNu1O9hrdC70saZ9%2FD%2BBnuI4R2ALb32BRucuRx0YcgKQ%3D%3D


其中usr字段表示的用户的掌阅帐号,APP端和抓包的结果如下。

1-1.jpg


2.jpg


遍历url,可以获得用户的阅币情况(可用来购买付费书籍),结果如下(只选取了1000的样本)

QQ截图20150215123346.jpg


这样,就完成了前期对用户情况的收集,用于后续的支付环节。在选取某一付费书籍以后,点击购买,会弹出如下结果。

5-1.jpg


抓包的结果如下

6.jpg


发现usr的字段同样是可以操控的,改帐号iXXXX7905,
其支付界面的显示结果如下

20150215110503.png


因此在该处可以利用他人的帐号支付购买付费书籍。

漏洞证明:

新申请帐号为:4921 余额 0/11

1.jpg


扫描获得帐号:7905 当前购买数量:4,余额3222/42

5.png


购买书籍支付结果对比:

7.jpg


9.jpg


7905的帐号剩余 3133/0;购买书籍数量变为5

8.jpg


后续测试中虽然跨帐号下载书籍会提示错误,但是他人帐号里的费用是确确实实被扣了
PS:BURP抓包时好像不太稳定~

修复方案:

加强认证措施吧

版权声明:转载请注明来源 MelodyZX@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-02-28 15:42

厂商回复:

非常感谢@MelodyZX 对掌阅安全的关注,已通知研发部门尽快修复。

最新状态:

暂无


漏洞评价:

评论