朵朵-时尚购物网用户名,密码,Email赤裸裸泄露

漏洞概要

缺陷编号:WooYun-2013-017877

漏洞标题:朵朵-时尚购物网用户名,密码,Email赤裸裸泄露

相关厂商:朵朵网-时尚购物

漏洞作者:xfkxfk

提交时间:2013-01-25 15:48

公开时间:2013-03-11 15:48

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-01-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-03-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

朵朵-时尚购物网用户名,密码,Email,订单赤裸裸泄露。。。
基本上注册过的用户都跑不掉,跟拖库一样给力。。。

详细说明:

1、朵朵网-时尚购物在每一个用户注册完后,就会在”我的账户“里面发一条站内消息,这个消息包含了注册用户的用户名,密码,Email信息。2、在站内消息里面可以给其他用户发消息,可以给管理员发消息,也有管理员给你发的消息,还有修改密码后也会发消息到站内信息,相当于你的注册邮箱,只要有动静就给你发消息,包括订单号,修改的新密码等等。。。2、当我查看自己的站内消息后,有回复功能,点击回复后,看url里面有个数字编号,每条消息对应一个编号,而且是顺序递增的,这下就好奇了,看看其他编号的信息时,果然可以看。

3、既然这样,我们可以查看第一条信息,一直到最后一条所有信息。

4、那么我们可以写一个脚本,就能把所有的账户信息趴下来了。。。

漏洞证明:

修复方案:

判断账户权限。这些敏感信息就不要发到站内了。。。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价

  1. 2010-01-01 00:00 xfkxfk 白帽子 | Rank:1829 漏洞数:172)

    脚本已经完成,成功爬去用户名,密码,Email等信息。。。