2014-03-28:细节已通知厂商并且等待厂商处理中
2014-03-31:厂商已经确认,细节仅向厂商公开
2014-04-03:细节向第三方安全合作伙伴开放
2014-04-10:细节向核心白帽子及相关领域专家公开
2014-04-20:细节向普通白帽子公开
2014-05-10:细节向实习白帽子公开
2014-06-26:细节向公众公开
网易新闻积分商城平行权限漏洞可获取他人兑换物品的兑换码。。
详细说明:在进入网易新闻积分商城里看我的宝贝的时候随手抓了个包,发现了个地址
http://c.3g.163.com/nc/uc/store/myprizes/?userid=m18******7@163.com
这里会返回用户抽奖获得及兑换的商品。。。随手把userid后面的账号换成他人的就可以查看其他人抽奖获得及兑换的商品。。。
查看奖品详情是
post
userid=m18******7@163.com&prizeid=p****N到
http://c.3g.163.com/nc/uc/prize/instance/
其中prizeid是商品代码。。。
本来这玩意儿不会造成什么影响。。。
但是积分商城兑换的东西有“战网一卡通”的卡密,“网易caipiao3元”兑换码这些东西,只要你兑换了这些东西,这些兑换码和卡密就会出现在奖品详情里。。。。
所以我们要查看用户兑换的一卡通卡密
post
userid=用户名&prizeid=p9ND4HHIR到
http://c.3g.163.com/nc/uc/prize/instance/
我们怎么找网易新闻的用户呢?
最近网易新闻不是出了个“一起来拍三,共庆三周年”的活动么?
http://active.163.com/service/form/v1/1396/list.jsonp?_charset=UTF-8&page=1&pageSize=10&callback=ugc
打开这网址就可以查看到上传用户的用户名。。。
就可以用这些用户名去试3元caipiao和一卡通。。。
当然这些用户不一定会去兑换这些东西,还有很多用户兑换了之后都把兑换码使用了。。
所以这玩意儿危害不大。。。。。。。。。
ps:本来是懒得发这玩意儿的,因为没多大影响。。。但是看到网易新闻老是发wooyun上其他厂商的洞我看着烦。。。所以上来就818网易新闻的。。。。
修复方案:
感谢您对网易的关注,该问题并不是安全漏洞。
版权声明:转载请注明来源 jeffreys125@乌云 漏洞回应 厂商回应:危害等级:低
漏洞Rank:3
确认时间:2014-03-31 15:25
厂商回复:感谢您对网易的关注,漏洞已经修复。
最新状态:暂无