无节操的本文真的是一只烂手机引发的血案。原本只是技术员厕所里玩手机发现的BUG,被发到习科核心群后凭着安全工作的本能一步一步深入挖掘出了各种问题:京东安卓APP的Web页面存在订单刷新越权漏洞,存在多处储存型XSS漏洞,目测是可以盲打到后台的。

 

 

 作为资深不吐槽就会死星人,小编不得不吐槽,你就是只充气WaWa,也不能这样到处都能插呀?!据说京东已经开始响应了,那么习科小编发出来细节应该无伤大雅吧。

安卓手机APP后台刷新列表越权

如果你有一款安卓系统的手机,如果你有京东的账号,如果你又刚好使用了京东的安卓手机APP,那么可以尝试如下步骤来测试京东这个列表刷新越权漏洞。

1, 点“我的”;

2, 点返修退换货;

3, 按home ,把他放在后台五分钟左右;

4, 再打开,发现页面刷新了,成别人的了;

5,如果玩完了一个想换另一个,点进度查询,然后返回;

6, 又是另一个列表,呵呵

 

 

 

发现问题后,首先要分析问题出现的原因。不同手机测试发现并不是每一款都会出现,配置较低的手机会出现这个问题。那么试着推想其原理:安卓会自动刷新有可能是内存被挤爆了,然后系统结束掉了京东,再打开要重新读取,就出问题了。

先不说问题是怎么出现的,先来吐槽一下这里的订单问题吧。

 

 

 

手一抖,这个服务单就被小编给取消了,真是对不起这是哪位朋友呀。注意这里截图中弹出一个“m.mrd.jd.com”的提示。这个放到后面去看,接下来先吐槽下退款的部分:

 

 

不知道有没有官方人员来声明一下,是不是可以自由填,只要信息对了就可以退款呢?

好吧,第一阶段吐槽结束。刚刚小编有提示诸位小伙伴们注意上面截图中“m.mrd.jd.com”的提示,这个提示就表示京东APP的这个部分是调用的京东Web页面。

 

PC模拟手机APP抓包

习科论坛有很多关于手机连接电脑,然后抓数据包的帖子,小编这里就不赘述了。需要注意的是,这个问题产生是因为手机内存被挤爆后系统关闭了京东的APP后台,重开后APP刷新Web页面出现的,我们的目的也就是抓到APP访问了哪个页面。

说了这么多小编是想告诉小伙伴们,在PC上面模拟需要配置一下内存小一点的才行。

 

 

如果配置的内存高了是不会出现的。

因为核心群有好几个人在测试,最终抓到APP访问的页面很多,但都是这种类型的:

m.mrd.jd.com/afs/orders?sid=36a6a7068f677b8b87a163cc41cce141

m.mrd.jd.com/afs/orders?sid=685664497a7c2be36e4473f182ea6853

这个Web的Orders页面中sid不知道是怎么生成的,每次访问都会出现不同的列表。

列表的内容小编就先不吐槽了,先说这个SID参数应该与用户在APP上面的登陆和退出有关,如果APP的用户退出了,则访问SID页面的时候就会要求登陆了(这可能就需要小伙伴们自己去注册京东生成SID了,小编帮京东推广用户是不是可以给小编来个礼品啊)。

 

多处储存型XSS,目测可盲打

Web页面没有限制UA,用IE默认都可以浏览,好吧这篇文章目的就是IE高级黑来着。

权限设置做的非常差,可以操作很多地方。有的地方通过抓包可以插任意代码。例如:

m.mrd.jd.com/afs/customerLeaveMsg?serviceId=138553495&sid=6a677189ae094d21a077fa085d667568

来看一下:

 

 

经过一些关键字的测试,果然还是插上去了,虽然没有过滤关键字可以随意插。这里请无视javascript中忘了加分号的事。顺便请原谅我们只能插不能删。。。劳烦京东的哥哥后台删一下吧。

友情提示,删的时候小心不要被人盲打信息去了 :-)

接下来就是本文开篇截图中的地址:m.mrd.jd.com/afs/processQuery?orderId=7920918455&serviceId=145385279&wareId=954227&sid=36a6a7068f677b8b87a163cc41cce141

 

 

除了这两个地方以外,还有好几处,目测m.mrd.jd.com站点中与用户交互的地方可能都没有做严格过滤。除了弹个窗,插段JS也OK的。

剩下的小伙伴们请自行发挥吧。

 

小编写在最后

建议这个站从头重做吧,修修补补费工费力,真心不如重新架构。不要把黑阔们的挖掘当做产品前进的动力,望对用户认真负责,对自己产品负责,不要敷衍了事。

//silic.wiki