2014-03-28:积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-12:厂商已经主动忽略漏洞,细节向公众公开
收货信息(收货人地址电话等等)泄露
详细说明:用户可越权访问其他用户信息(收货人地址电话等等),可进行参数ID遍历。
漏洞证明:
http://www.818.com/myoper/OperAddress.aspx?aid=1
http://www.818.com/myoper/OperAddress.aspx?aid=2
越权查看用户信息 看注册ID 起码有85万用户
此处只查询了id1 未进行其他操作
http://www.818.com/MyOper/SubOrder3.aspx?sId=10733847&num=1&Proter=&wid=0&kfid=
购买任意的处方药
http://www.818.com/MyOper/OrderDetails.aspx?orderid=20140226066106864
查看任意订单信息
http://www.818.com/MyOper/OrderDetails.aspx?orderid=20140226098317922
对所有参数进行过滤,加强权限
版权声明:转载请注明来源 monkey_cici@乌云 漏洞回应 厂商回应:未能联系到厂商或者厂商积极拒绝
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;