当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0227432

漏洞标题:花礼网某处平行权限漏洞(影响所有使用用户)

相关厂商:www.hua.com

漏洞作者: Raven

提交时间:2016-07-10 19:03

修复时间:2016-07-11 09:11

公开时间:2016-07-11 09:11

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-07-10: 细节已通知厂商并且等待厂商处理中
2016-07-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

自评RANK得给高,厂商才会重视

详细说明:

#0
这次俩账号做测试都是自己的号啊
账号A ********@foxmail.com (A模拟受害人)

1.png


账号B ******@qq.com (B模拟恶意攻击者)

2.png


#1
首先正常用户A下单,获得一个订单号(我这里都是选的货到付款啊你懂得为什么)

3.png


A订单号:155479115
#2
然后换到账号B(恶意攻击者)这里
账号B也下单获得一个订单号,这里就不写出来了

4.png


B订单号:155416297
#3
接着继续账号B(恶意攻击者)取消自己的订单并抓包获得取消订单的包

GET /ajax/OrderOper.asp?op=cancel&id=155416297 HTTP/1.1
Host: www.hua.com
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
DNT: 1
Referer: http://www.hua.com/member/member_record.asp
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: ASPSESSIONIDSQADRADC=FNKGHKFDFCEHNFMNEFAAHNOL; user%5Fexperience%5Fmail=*********%40foxmail%2Ecom; ASP.NET_SessionId=ztxa5iuk3fz4s4vfg3fizr0z; isFrom=bdaH170002; zLTINFO=; zEmarInfo=; Hm_lvt_5f4aa36509ee08b412f4647f6d4f1749=1467698679,1467982426; Hm_lpvt_5f4aa36509ee08b412f4647f6d4f1749=1467982453
Connection: close


5.png


#4
发现没有任何验证,我们就把id参数改为账号A(正常用户)的id

6.png


#5
结果是,取消成功

7.png


#6
总结下,订单号范围不是很大,并且没有任何保护措施,这就给我们提供了非常好的利用环境
差不多这个范围写个脚本有的没得订单都可以取消吧(貌似BurpSuite的暴力美学就可以用在这上面,分分钟取消全部订单!!!),一笔订单少说上百,取消个100笔订单这就上万了呐,我看了下评论上万条起码有的,虽然历史订单没用了,但至少说明你们的花还是挺受欢迎的,以后说不定哪天火了这不就影响超大了嘛!我这分析的可以吧~

漏洞证明:

以上即是

修复方案:

你们懂的

版权声明:转载请注明来源 Raven@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-07-11 09:11

厂商回复:

感谢反馈,技术部同事仔细检查和测试,反馈代码中一直是有做验证处理的,会员只能自己取消自己的订单。用url更换订单号然后取消成功,是不是因为您那个订单号所在的会员,是处于正常登录状态? 再次感谢您的反馈,因为您们的时间付出和提醒,让我们不断进步。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-07-11 09:39 | Raven ( 路人 | Rank:24 漏洞数:9 | 人称乌云吴彦祖)

    @深圳市百易信息技术有限公司 并不是你们说的这样的,其实我刚开始测试的时候是一个账号,下单后随便改了其他的订单id取消测试了下,返回status为0,之后注册了另一个账号做测试的。

  2. 2016-07-11 09:46 | Raven ( 路人 | Rank:24 漏洞数:9 | 人称乌云吴彦祖)

    @深圳市百易信息技术有限公司 额,还有....burpsuite取消的时候刚开始是点了好几下才取消成功,之前一直返回status为-1....