中粮我买网删除任意用户信息

漏洞概要

缺陷编号:WooYun-2013-020453

漏洞标题:中粮我买网删除任意用户信息

相关厂商:中粮我买网

漏洞作者:zzR

提交时间:2013-03-22 12:02

公开时间:2013-05-06 12:03

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2013-03-22: 细节已通知厂商并且等待厂商处理中
2013-03-22: 厂商已经确认,细节仅向厂商公开
2013-04-01: 细节向核心白帽子及相关领域专家公开
2013-04-11: 细节向普通白帽子公开
2013-04-21: 细节向实习白帽子公开
2013-05-06: 细节向公众公开

简要描述:

权限问题

详细说明:

我买网由于水平用户权限问题,可删除任意用户地址信息。1·用户1 在我的地址簿 新建一个收获地址

同时,关注一下下面的addressId=4473968 ,这个作为被删除的目标。2·登陆用户2 ,做一个删除地址的请求可以看到这是个post请求,请求的内容为addressId值如果直接更改这个post参数,你会发现是不成功的!3·将此post请求改为GET

将addressid值改一下replay一下吧

看返回是0,,,,,这个就是成功啦,若是1,,,,,那就是有问题滴。返回用户1 去看刚刚新建的addressId=4473968的地址,已经没有啦

漏洞证明:

已细说

修复方案:

这里的地址删除操作是可改成GET请求的,那我们可以遍历id就能把所有的用户地址信息删除了,就是不知道你们这个地址id是不是可遍历,仅测试哦。

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-03-22 21:22

厂商回复:

嗯。。。确认漏洞,我们立即安排修复。感谢洞主提交。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 雅柏菲卡 白帽子 | Rank:661 漏洞数:63)

    额…… 任意…… 额 囧死……

  2. 2010-01-01 00:00 刺刺 白帽子 | Rank:516 漏洞数:42)

    弱弱的问一下洞主,是不是删除用户的,站内“我的信息”“发件箱”、“收件箱”啊

  3. 2010-01-01 00:00 zzR 白帽子 | Rank:1179 漏洞数:101)

    @刺刺 没试过