某某拍賣網站 Insufficient Session Expiration 問題 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2017-00088
  • Vendor: 露天拍賣-台灣NO.1 拍賣網站
  • Title: 某某拍賣網站 Insufficient Session Expiration 問題
  • Introduction: 劫持

處理狀態

目前狀態

公開
Last Update : 2017/04/04
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2017/02/02 20:26:33 : 新提交 (由 aaa 更新此狀態)
  • 2017/02/03 11:36:26 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/03 14:42:19 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/03 19:24:18 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/03 19:25:36 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/03 19:26:16 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/16 16:55:40 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/16 16:55:41 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/17 19:19:56 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/17 19:19:57 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/04/04 03:00:16 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2017-00088
  • 通報者:honc (aaa)
  • 風險:中
  • 類型:其他 (Other)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

Web Site List:http://www.ruten.com.tw/

敘述

使用Google chrome 擴充功能Cookie 插件,登入帳號複製當前會話登出之後清除,過了二~三小時再重複至貼上刷新便可登入

修復:建議登出之後,Cookie 或Session 就失效在重新配發新的一組

補充:

這是測試概念驗證視頻 我弄了二個影片,一個是露天和Hitcon ZeroDay ,相對ZeroDay 平台有防護 『露天拍賣: https://drive.google.com/file/d/0ByrwRfdtgouyUEhnMlpHcWVjYkU/view?usp=sharing 』、 「Hitcon ZeroDay : https://drive.google.com/file/d/0ByrwRfdtgouyRFFCZ0FtbEt2OWs/view?usp=sharing

擷圖

留言討論

;