淘宝网:普通旺旺号能够使用”来自商城评价”,进行信用抄作行为

漏洞概要

缺陷编号:WooYun-2012-06409

漏洞标题:淘宝网:普通旺旺号能够使用"来自商城评价",进行信用抄作行为

相关厂商:淘宝网

漏洞作者:路人甲

提交时间:2012-04-26 18:05

公开时间:2012-05-01 18:06

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2012-04-26: 细节已通知厂商并且等待厂商处理中
2012-04-26: 厂商已查看当前漏洞内容,细节仅向厂商公开
2012-05-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

普通旺旺号购买商品成功交易后,能够使用商城评价,在评价前有个系统自带的"来自商城评价".在卖家信用评价展示上不显示积分,好评率!在历史信用构成上有信用积分!卖家利用此漏洞进行炒信行为!

详细说明:

漏洞证明:

旺旺评价例1:http://rate.taobao.com/rate.htm?user_id=513654397&rater=1http://rate.taobao.com/rate.htm?user_id=164801632&rater=1http://rate.taobao.com/rate.htm?user_id=161711955&rater=1炒信店铺例2:http://rate.taobao.com/rate.htm?user_id=34904440http://rate.taobao.com/rate.htm?user_id=159677514http://rate.taobao.com/rate.htm?user_id=716416903

修复方案:

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-05-01 18:06

厂商回复:

最新状态:

暂无

评价

  1. 2010-01-01 00:00 123luckydog 白帽子 | Rank:3 漏洞数:4)

    跟这个漏洞的评论放在一起就是:
    WooYun.org | 自由平等的刷钻交流平台
    我们和大家一起一直在努力 :)
    WooYun: 淘宝卖家0元加入消保,并且点亮消保图标,不用话1000元了
    JUST KIDDING!!!