阿里巴巴旗下速卖通站内信可以发送给任何卖家(实现广告)

漏洞详情

披露状态:

2014-02-21: 细节已通知厂商并且等待厂商处理中
2014-02-26: 厂商已经确认,细节仅向厂商公开
2014-03-08: 细节向核心白帽子及相关领域专家公开
2014-03-18: 细节向普通白帽子公开
2014-03-28: 细节向实习白帽子公开
2014-04-07: 细节向公众公开

简要描述:

阿里巴巴旗下速卖通站内信可以发送给任何卖家

详细说明:

阿里巴巴旗下速卖通站内信可以发送给任何卖家 在发送站内信的时间还没有验证码的出现 可以实现大规模的广告邮件发送

漏洞证明:

@3~(_UXTUEZA[N6B{C3ZZ}I.jpg

我们首先进入后台 设置发送文字与图片

F]`3)XOYL{(9[7Y{N%0}APL.jpg

在上传过程中 抓取数据包 修改为任意用户ID号

@KV(UB`~5DFKPAY]3CWBH`E.jpg

然后发送数据包 可以看到发送成功了

S~PF914N1B(_@1}P}{MGE74.jpg

观察一下这位用户的ID号

{LTKX%NRUGOD~(M1M191PJE.jpg

确认为我们刚才修改的ID号 经过多次试验 只要模拟这个过程就可以连续不断向不同用户发送广告站内信 邮件

修复方案:

权限设置 你们更专业啊! 求礼物啊!

版权声明:转载请注明来源 moble@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-02-26 10:39

厂商回复:

感谢您对阿里安全的支持

最新状态:

暂无


漏洞评价: