漏洞概要 关注数(4) 关注此漏洞
缺陷编号: WooYun-2016-191210
漏洞标题: 菠萝蜜泄露1w身份证收货地址购买商品可拦截发货or退货(弱口令)
相关厂商: 菠萝蜜
漏洞作者: 小龙
提交时间: 2016-04-01 10:53
公开时间: 2016-05-16 11:00
漏洞类型: 敏感信息泄露
危害等级: 高
自评Rank: 20
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 第三方不可信程序 敏感信息泄露 phpinfo
漏洞详情
披露状态:
2016-04-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-16: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
波罗蜜 (自营跨境电商)
波罗蜜全球购(以下简称“波罗蜜”)是一个主打“只卖当地店头价”和“视频互动直播”的自营跨境电商,通过在App载入移动视频互动技术,致力于为消费者还原海外购物场景 。
目前,波罗蜜已经开通日本和韩国市场,提供包括美妆个护、母婴用品、保健品、零食以及小家电等商品,海外商品的数量正在持续增加。[1]
创始人兼CEO张振栋在移动互联网领域有超过十年的创业经验。 之所以起名为“波罗蜜”,是想让用户体验穿越到海外“身临其境”的海外购物场景——正如周星驰在电影《大话西游》中念出“波罗波罗蜜”咒语后穿越时空的体验。 [2]
波罗蜜App于2015年7月1日正式上线。上线后第一周日新增用户过2万,第二个月收入破千万,次月重复购买率达45%,直播间收入占30%以上。 [3]
详细说明:
今天 全药厂商的礼物到了,故事的来头从前几天说起。挖了个全药的漏洞,私信他们客服了。说送礼物。比较绅士的我肯定说我不要,但是客服硬说要给我。作为绅士的我只能勉强接受了。今天收到了礼物
正当我以为是ipad
我看到了姨妈红的包装、、、
看到了“菠萝蜜”
送的是巧克力的蛋白粉。不错,有想要的可以去挖挖全药。
找到了目标站,然后找个分站爆破走起。比较核心的订单管理系统
杀入订单系统
1万6千身份证, 收货地址
总计: 16316
光今天的就5000+了
再等几天不就几万了
^_^
请火速修复吧。
卧槽。都是豪
可以帮他们退款等。。。
漏洞证明:
11
修复方案:
11
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评论