某某拍賣網站 Insufficient Session Expiration 問題 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

ZDID: ZD-2017-00088
Vendor: 露天拍賣-台灣NO.1 拍賣網站
Title: 某某拍賣網站 Insufficient Session Expiration 問題
Introduction: 劫持

處理狀態

目前狀態

公開

Last Update : 2017/04/04

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2017/02/02 20:26:33 : 新提交 (由 aaa 更新此狀態)
2017/02/03 11:36:26 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/02/03 14:42:19 : 審核中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/02/03 19:24:18 : 審核中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/02/03 19:25:36 : 審核中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/02/03 19:26:16 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/02/16 16:55:40 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/02/16 16:55:41 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/02/17 19:19:56 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/02/17 19:19:57 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/04/04 03:00:16 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2017-00088
通報者：honc (aaa)
風險：中
類型：其他 (Other)

參考資料

暫無資料

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

相關網址

Web Site List：http://www.ruten.com.tw/

敘述

使用Google chrome 擴充功能Cookie 插件，登入帳號複製當前會話登出之後清除，過了二~三小時再重複至貼上刷新便可登入

修復：建議登出之後，Cookie 或Session 就失效在重新配發新的一組

補充:

這是測試概念驗證視頻我弄了二個影片，一個是露天和Hitcon ZeroDay ，相對ZeroDay 平台有防護『露天拍賣： https://drive.google.com/file/d/0ByrwRfdtgouyUEhnMlpHcWVjYkU/view?usp=sharing 』、「Hitcon ZeroDay ： https://drive.google.com/file/d/0ByrwRfdtgouyRFFCZ0FtbEt2OWs/view?usp=sharing」

擷圖

留言討論

;