京东商城某查询订单接口客户详细信息泄漏

漏洞概要

缺陷编号:WooYun-2013-019350

漏洞标题:京东商城某查询订单接口客户详细信息泄漏

相关厂商:京东商城

漏洞作者:可乐超人

提交时间:2013-03-01 09:37

公开时间:2013-04-15 09:37

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2013-03-01: 细节已通知厂商并且等待厂商处理中
2013-03-01: 厂商已经确认,细节仅向厂商公开
2013-03-11: 细节向核心白帽子及相关领域专家公开
2013-03-21: 细节向普通白帽子公开
2013-03-31: 细节向实习白帽子公开
2013-04-15: 细节向公众公开

简要描述:

京东商城查询任意返修订单客户详细信息漏洞

详细说明:

纯属无疑中发现的一个小BUG,思路如下:借助强大的谷哥哥搜索allinurl: aspx site:partner.360buy.com发现了如下链接http://partner.360buy.com/3pl/CaXun/PrintQJ.aspx?id=Q6465518

打开提示 ”请登录后再次访问“

操字典扫之,发现如下3个页面,逐一打开。很遗憾,看到的只是一级页面,二级页面都打不开。http://partner.360buy.com/3pl/mail.aspxhttp://partner.360buy.com/3pl/source.aspx

当我这时返回浏览http://partner.360buy.com/3pl/CaXun/PrintQJ.aspx?id=Q6465518尽然逆天的返回了如下信息:

故推断Q6465518为返修的订单编号,手动组合几个返修订单号都可显示详细的客户信息

漏洞证明:

附送几个后台地址http://partner.360buy.com/supplierweb/index.aspxhttp://partner.360buy.com/gyszs/login.aspxhttp://partner.360buy.com/3plhrm/login.aspx

修复方案:

你们更专业!!!!

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-03-01 13:35

厂商回复:

漏洞确实存在,感谢可乐超人,但可遍历并非订单,而是其他一类单号。后续我们会联系您发送小礼品,也欢迎其他白帽通过乌云提交京东的漏洞,谢谢

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    要是他们给你270万,洞主千万别嗯啊

  2. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @xsser 神马情况~

  3. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @xsser @可乐超人 270什么意思

  4. 2010-01-01 00:00 可乐超人 白帽子 | Rank:71 漏洞数:10)

    @xsser 什么意思?我听不懂。。。我什么都没有做。。。表吓我

  5. 2010-01-01 00:00 koohik 白帽子 | Rank:536 漏洞数:60)

    我也发现了一个,不过京东貌似会忽略,就不想发

  6. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @koohik 发呀,忽略公开多欢愉!!

  7. 2010-01-01 00:00 koohik 白帽子 | Rank:536 漏洞数:60)

    @se55i0n 此基友……拖出去斩了

  8. 2010-01-01 00:00 易水寒 白帽子 | Rank:54 漏洞数:5)

    @可乐超人 @小胖胖要减肥 WooYun: 京东商城用户资料完全泄漏 然后。。。就没有然后了。

  9. 2010-01-01 00:00 Drizzle.Risk 白帽子 | Rank:220 漏洞数:19)

    京东很危险,楼主要远离