注意:本文所述漏洞站点为国内电子商务的门户之一,所有域名及图片均已作过处理,请大家不要胡作非为,由此产生的一切后果与作者无关.
XXXX.com是国内知名的电子商务门户站点,本人也经常到该站购物.近日,本人对该站进行了一次安全检测,发现了一些问题,虽然不能控制站点,但可获取站点用户的使用权限,特作此文以提醒该站点注意.
一般而言,像这样大型的门户网站,系统方面肯定做得很牢固,所以我就直接从脚本入手了.随便检查了几个URL,并没有发现注入点,于是我把目标锁定在一些容易被忽视的环节上.翻了一下各个链接,突然发现“找回密码”功能.点击进入,居然只要求输入用户名(如图1).莫非是要一步步输入信息?不管他,先输入自己的用户名试试。输入用户名确定后,不可思议的事发生了,系统居然提示密码已发到您的注册邮箱中,并且把邮箱地址都列了出来(如图2)。晕,这下好了,只须破解邮箱就可以拿到任意用户的密码了.后来我到自己的邮箱中收取了这封邮件,发现密码被原封不动地发了过来,看来并没有进行加密,如果有其它漏洞被盗窃了数据库,那岂不就……,我不敢往下想了,汗!
毕竟这个漏洞是需要破解邮箱的,如果邮箱密码足够强壮我们也无可奈何,那还有没有其它漏洞呢?忽然想起当初我是从网下书友会形式加入该站的,现在站点正在鼓励我们由网下向网上发展,还专门做了一个网下会员转网上会员的页面.于是我点击了这个页面,发现“密码”那有这么一句话：默认密码为你入会时的邮政编码(图3).邮政编码?邮政编码才几位数字阿!如果网下用户并未转到网上(其实很多都是没转的),那不就......不过如果有登录次数限制的话,这操作起来也是十分麻烦?于是我拿我自己的帐号进行实验,发现故意错了十次密码都可以继续尝试.这下好了,只要随便拿个网下用户的帐号用工具暴破就搞定了,而网下帐号一般是站点数字形式的,如XXXX00111111.
到这里,站点本身的漏洞我找得差不多了,但忽然想起,其实不用密码也是可以使用任意网下用户的权限的,我怎么这么笨啊.呵呵.
其实,这个方法利用的并不是网站本身的漏洞,而是管理方式的漏洞,我们拿站点用户的权限,无非是想要使用VIP用户权限以求获得更优惠的价格或是使用他人在站点帐号的余额”免费”购物,其实,要使用网下VIP用户权限购物我们完全正确可以直接选好喜欢的商品,然后按网下VIP价格汇款过去,在汇款人注明一个VIP用户的用户名,地址那写自己的地址,附言那除写清商品代码还注明“暂用此地址”，商品就会按你的汇款地址发过去了。但要注意你必要确认该帐号拥有VIP权限，否则货款不够你的钱可要落入别人的帐号了。如果要“免费”购物，我们可先发一封邮件给网下的客服信箱，说把地址改为你现在的地址。不久，你就会收到邮件说地址已更改。呵呵，下面就要看你的运气了，你再发邮件去说用户订购XX商品，注明帐户有余额，如果帐号有足够余额，那你就可以“免费”购物了，如果帐户没有余额或余额不足，又也会回复邮件说明，这时你可以换个用户试试，也可以直接扣除帐户中剩下的余额汇款购物，方法同冒充VIP用户，只不过邮件中加多一同“帐户有余额”，另外，为了不引起工作人员的怀疑，最好不要直接回复的邮件，而是每次都写一封发过去。
最后，我要说明的是，该站所有购物订单，包括无效定单都有详细记录的，所以我奉劝各位还是不要乱来的好，否则警察叔叔可以来找你聊聊天了。