朵朵网-时尚购物修改任意用户资料

漏洞概要

缺陷编号:WooYun-2013-017894

漏洞标题:朵朵网-时尚购物修改任意用户资料

相关厂商:朵朵网-时尚购物

漏洞作者:xfkxfk

提交时间:2013-01-25 21:10

公开时间:2013-03-11 21:11

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-01-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-03-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

朵朵网-时尚购物可修改任意用户资料,如修改收货地址,个人资料等。。。
你说严重不?我也不知道,所以提交了。。。

详细说明:

测试环境:

1、攻击者xfkxfk可以有自己的收货地址,在修改自己得收货地址时,只要修改url后面的收货地址编号为受害者编号就能进行修改。

受害者test收货地址信息如下:

攻击者xfkxfk修改受害者test的收货地址信息url:

2、除了可以修改地址还可以进行其他设置。

3、验证危害:

4、

漏洞证明:

修复方案:

控制用户权限。隐藏用户信息。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价