[公开漏洞]淘宝敏感信息泄漏可进入某重要后台（使用大量敏感功能和控制内部服务器）

淘宝敏感信息泄漏可进入某重要后台（使用大量敏感功能和控制内部服务器） 相关厂商： 淘宝网 漏洞作者：鸟云厂商 提交时间：2014-05-25 11:40 公开时间：2014-07-24 11:44 漏洞类型：重要敏感信息泄露 危害等级：高 自评Rank：20 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： 渗透测试思路 管理后台对外 安全意识不足 渗透测试思路 安全意识不足 漏洞详情 披露状态：

2014-05-25：该漏洞正等待厂商内部评估
2014-05-26：厂商已经确认，与白帽子共同解决该漏洞中，漏洞信息仅向厂商公开
2014-06-05：细节向核心白帽子及相关领域专家公开
2014-06-15：细节向普通白帽子公开
2014-06-25：细节向实习白帽子公开
2014-07-24：细节向公众公开

简要描述：

能给任意支付宝账号充值

详细说明：

#1 账号泄露

https://github.com/zengjianjay/alizycg/blob/1cae1988a2dd0f5dce6ce815529030ce122ed4bc/config/application.rb

ActionMailer::Base.smtp_settings = {

        :address => 'smtp.alibaba-inc.com',

        :domain =>'alibaba-inc.com',

        :port => 465,

        :user_name=>"kelude@taobao.com",

        :password =>"Hello@1234",

        :authentication =>:login,

        :enable_starttls_auto => true

    }

#2 登录http://alibaba-inc.com

既然是个淘宝kelude的账号，那就搜一下kelude系统。

https://l***a-inc.com/***=kelude

#3 http://k.alibaba-inc.com kelude后台功能比较多，let me see

后台能干嘛：

给支付宝账号充值

任意支付宝账号认证

任意支付宝淘宝绑定

为订单付款

为订单发货

为订单退款

解绑用户支付宝

删除支付宝账号

修改订单价格

给订单包邮

升级店铺等级

给宝贝添加评价

修改用户密码

修改用户手机号

删除用户

修改用户身份证号码

删除购物车

实时查询注册手机的校验码

处罚会员

修改卖家好评率

品牌授权

创建天猫品牌

等等等等等等等上百项重要功能



#4 威胁服务器安全

http://k.alibaba-inc.com/admin/machines 可以重启、关闭聚划算、搜索、理财等等共计299台服务器

http://k.alibaba-inc.com/****/machine_list.htm 可以查看256台机器的Loh和登陆名密码

#5 威胁业务运营安全

业务应用管理

漏洞证明：

密码修改成了：Ali99inc

修复方案：

阿里的权限分得很好

指定账号只能进指定系统

但是就因为这一个账号，差不多能毁了淘宝正常的运行状态

版权声明：转载请注明来源 鸟云厂商@乌云

漏洞回应 厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-05-26 09:53

厂商回复：

感谢您对我们的支持与关注，该问题我们正在修复中。

最新状态：

暂无