中国新能源网可越权管理全部(数万家)供应商和采购商信息(包括产品报价管理/专利管理/重置任意用户密码等)

漏洞概要

缺陷编号:WooYun-2015-0124920

漏洞标题:中国新能源网可越权管理全部(数万家)供应商和采购商信息(包括产品报价管理/专利管理/重置任意用户密码等)

相关厂商:中国新能源网

漏洞作者:zsmj

提交时间:2015-07-06 17:28

公开时间:2015-08-20 17:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2015-07-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

中国新能源网(china-nengyuan.com)--中国首家新能源产业综合类电子商务网站。为政府机关、能源企事业单位、科研院所、行业协会、学会提供资讯服务、咨询服务、专业培训、资本运作、项目合作等综合服务的信息咨询公司,并建立了一个强大的服务于业界的网络平台,总部地址 杭州市文三路477号华星科技大厦六层,目前与数万家企业合作。。。
由于设计逻辑缺陷,任意申请一账号,可越权管理全部合作厂商的产品和专利。可重置任意用户密码。点谁,改谁,就这么容易

详细说明:

0x01 可越权修改数万家合作厂商信息1、申请账号,用户名admin2,此时系统分配我一个

,于是又申请一个admin3账号,发现

,是依次递加,而不是随即分配的

2、于是burp截断,修改cookie_member_id=34786(也就是我的前一位用户)

forward:越权成功,

查看基本信息,发现而厂家为供应商

3、在我是供应商一栏中查看该公司的产品,可任意修改产品、专利、报价等操作

可发布新产品

4、尝试修改cookie_member_id值,

根据目前cookie_member_id为34786。初步计算涉及数万家合作厂商,未一一遍历

漏洞证明:

0x02看我如何重置任意用户密码1、 cookie_member_id=1,查看该厂商已经绑定邮箱和手机号码

2、在手机邮箱绑定一栏中修改会员验证修改为我的邮箱和手机验证先来邮箱:点击我要修改邮箱地址,然后输入我的qq邮箱,并抓包修改cookie_member_id=1,发现绑定成功,然后点击发送邮件验证码到新的邮箱,查看整个发送验证码以及该cookie_member_id对应的用户名

再来手机点击我要修改手机,然后输入我的手机号,并抓包修改cookie_member_id=1,发现绑定成功,然后点击发送邮件验证码到新的手机号

输入验证码,验证成功。

3、成功获取账号,手机号和邮箱都是自己的,尝试重置密码成功

4、到此为止cookie_member_id=1的用户用户名:redfox密码 :redfox手机和邮箱验证已被修改成我的。。5、综上所述,可以重置任意密码

修复方案:

你们比我专业。。PS:1、redfox用户的邮箱和手机信息,我会恢复之前的,密码为redfox,我无法知道之前的密码2、未做任何恶意操作3、听说厂商有礼品,还是京东卡,厂商大大,你怎么看!

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

评价

  1. 2010-01-01 00:00 网络骑士 白帽子 | Rank:35 漏洞数:4)

    这标题比瑞星那个还长啊