Chapter One 前言

---

隨著十一月的到來，一年一度的電商狂歡節——雙十一就這樣沒有一點點防備地降臨了。不知道什麼時候，雙十一和光棍節的關係越來越遠，變成了剁手黨的節日。

電商是什麼時候開始走入大眾的生活呢？

1990至1993年的電子資料交換時代是中國電子商務的起步期，直到1998年開始，網際網路電子商務才開始進入發展階段；1998年3月，中國第一筆網際網路網上交易成功；1999年阿里巴巴成立。現在中國電商已走入第25個年頭，形成了一套集交易、物流、拍賣、支付為一體，具備B2B、B2C、C2C等多種模式，使用者眾多的產業生態鏈。電商帶起的網路購物正在成為民眾的主要購物通道之一。

然而在這樣一片大好的形式之下，會不會有著我們看不到的波濤正在暗湧呢？當購物行為和網際網路相結合，會帶來怎樣的安全風險呢？電商正在面臨著哪些安全風險挑戰呢？

目前知名的電商平臺有阿里巴巴以及旗下的淘寶網、京東商城、蘇寧易購、唯品會、蘑菇街、美麗說、國美、噹噹網和聚美優品等，據不完全統計，烏雲平臺自成立以來，已收集到的電商平臺漏洞總數達1169個，其中2015年電商平臺漏洞數為414個，相比於2014年，漏洞總數上漲了68.98%。

然而這些也只是電商平臺目前存在的安全問題的冰山一角。在這個網購為王、線上支付成為主流支付方式的時代，電商平臺掌握著海量使用者的資訊和資金，這使得廠商在安全上承擔的責任隨之變大。然而要保護使用者的資訊和資金安全又談何容易？廠商在應對網際網路帶來的網路安全威脅以外，還需要同時兼顧內部人員管理，做到安全管理的全面覆蓋。

2015年10月28日，某微信公眾號發出一篇名為《“他們自稱是天貓客服…”杭州近萬條買家資訊外流！近期網購要留心！》的文章。文章披露了某個在一家為天貓某品牌旗艦店做銷售的公司工作的小夥子，透過工作便利，出售使用者資訊。使用者資訊的外流導致許多買家接到自稱為天貓客服的詐騙電話，並有多人受騙。這名小夥子在短短一個星期的時間內，先後出售了9000餘條買家資訊，牟利45800元。

這樣的事件讓人不禁感嘆，電商處處有誘惑。在普通人眼裡看起來並不重要的資訊，到了黑產或者騙子手中，就成為了價值連城的東西。透過這樣的事件，你是否也想起了這樣的曾經：剛買了房，就能接到各種裝修電話；剛有了小孩，就有人在推銷保險、奶粉；剛下完訂單，就有客服電話你說訂單資訊有問題....這些曾經讓你百思不得其解的事情，此刻突然變得明朗，現在你也就明白了，為什麼你的需求總是如此精準地被對方獲知。

小編透過明察暗訪以及長期的潛伏，也收集到很多圍繞電商這個行業展開的非法牟利活動的證據。

這些光明正大的求購資訊讓人不禁對電商購物產生了懷疑——網路購物在給我們的生活帶來便利的同時，似乎還帶來了很多負面的危害，使用者資訊就這樣赤裸裸地成為了黑產交易的物件。

第二期的烏雲爆告在雙十一來臨之際，與您一起解讀電商購物面臨的安全風險，希望能給廠商帶來警示，安全無小事，使用者權益更需要廠商的全面保護。

Chapter Two 購物風險知多少

---

和上一期的烏雲爆告一樣，我們將用真實案例來帶大家認識電商平臺的安全痛點以及網路購物潛藏的安全風險。選取的案例來自烏雲平臺，其中寫了細節的案例均為平臺上已通知廠商進行修復並公開的漏洞和烏雲社群的公開帖子，未公開的漏洞將在文中以預警方式出現。

眼見不一定為實

WooYun-2015-144614

淘寶4945/2345582等超許可權模組漏洞可修改信譽、銷量欺騙消費者

在淘寶店鋪中新增模組id為：4945，2345582等超許可權模組後在該模組內寫入css可成功修改店鋪信譽等級、遮蔽中差評、修改店鋪動態評分，嚴重欺騙消費者！

測試過程：

測試店鋪未修改前是兩個紅心

進入測試店鋪後臺，編輯4945模組，加入css樣式後儲存併發布。

其中，將紅心修改成金冠程式碼：

<style>

/*頁頭信譽修改成金冠*/

.tshop-psm-shop-header2 .tb-rank-red i{background-position: -60px 0;}

</style>

測試結果：

釋出後原測試店鋪已經顯示2個金冠了

小編說：在淘寶購物時，店鋪的信譽等級、使用者評價等資訊，本來是作為消費者消費前對店鋪進行評判的一個標準。小編我在網購時也習慣選擇信譽等級較高、使用者好評多的店鋪，然而有一天，如果你突然發現這個信譽等級其實可以透過技術手段隨意修改，你還會相信你看到的麼？雖然廠商回覆說僅有特定使用者才可以使用這個模組，但對於並不知道什麼樣的特定使用者可以使用這個模組的我們來說，並沒有被保障到的感覺。

WooYun-2015-115947

淘寶客戶端某漏洞導致可以大規模釣魚獲取淘寶賬號

淘寶客戶端某漏洞導致可以大規模釣魚獲取淘寶賬號。

淘寶客戶端的基礎協議是taobao://，由於淘寶客戶端的設計缺陷，導致可以在後面加URL開啟任意網站。

雖然APP做了正則匹配，對於不在白名單中的URL，會跳出提示，例如

taobao://wooyun.org

但是很不幸，一番嘗試之後，發現利用taobao://**-taobao.com這樣的格式，並且“**”為某個域名字尾就可以繞過該限制，“**”為其他英文字元的則無法繞過限制。

繞過之後你可以做什麼呢？

比如註冊一個org-taobao.com，做一個高仿的手機淘寶網登入頁面放在上面就可以開始安心釣魚了。

開啟頁面後，輸入使用者名稱密碼，點選登陸，使用者名稱密碼自動記錄到資料庫。

甚至可以在點選後提示：您的淘寶賬號存在風險請申訴之類的，然後要求填各種資訊。

可能有人會問：誰會沒事去點一個偽協議連結呢？這是一個非常好解決的問題，你只需要把跳轉程式碼放在其他站點中，或者發在微博上，就不怕別人不點了。

為此白帽子還做了一個影片演示，可以更直觀地看到漏洞。

<embed>

小編說：眼見有時也不是真的，身邊的小夥伴也經歷過各種各樣的釣魚，這樣的釣魚網站總是讓一些白傻甜來不及防備，廠商在接受使用者帶來的巨大利潤同時，也應完成保護使用者資料安全的職責。

WooYun-2015-113117

利用京東URL跳轉漏洞進行的郵件釣魚事件（已經有AppleID釣魚郵件出現）

白帽子測試程式碼如下

利用京東URL跳轉漏洞，可以跳轉至白帽子做的釣魚網站進行釣魚。

http://ccc.x.jd.com/dsp/nc?ext=dC54ZHR6c3lzYS5vcmcuY24vP3VuaW9uSWQ9NTIwMDYmc2l0ZWlkPTMwMTEyMzdfNDUmdG89aHR0cDovL2l0ZW0uamQuY29tLzE0NzM3MjgyMzEuaHRtbA==&log=OQ8OrrVeLMzoBfpHKbrsj4P1+JaRXF/bTebKX43d+U/e1Zk/lswrIS87bRSq9reEJr3A+VQmppuH1rrndbxnMfSTGO7U9OtAPMxAmQpHRoLCNoNJApdNxDJYLo263zjOYW6HsakvKK7rzB4s99px/6M8LJibqLG5GMAqiKbWeokqTXN5PTznzZVwnbleVjIpcE0SKTTMQrMKhI+9tK8eoKS5VnaJeR3zXOGGSotxvp1aJjOlxsd9Vn059olGczcET4iPBkF9QW9Vg945BMTJWu5HqoWNXubcrU12ts8c3TunjpEhg44m/B6DQ5+Psc/yw34OBV+MfrtgMrMPLA+4q8+vr5W/nH7gEySqCnrIYUNV2fUBqBH9xuMpraeSOHQR3xfny0nJom6ywbjSY98M8w==&v=404

小編說：我只是想安靜地購個物，為何處處是危險？告訴你，釣魚網站做得足夠逼真的話，我真的會信的！

WooYun-2015-132255

聚美優品安卓客戶端元件暴露可實現釣魚

聚美優品安卓客戶端版本3由於元件暴露問題，第三方應用可以啟動應用，還可以開啟釣魚網站。

白帽子開啟了一個支付寶登陸介面的利用程式碼，透過該程式碼可以從聚美優品的安卓客戶端跳至支付寶登陸介面。

假設駭客在利用程式碼中使用的網址是釣魚網站的網址，並且因為還可以執行JavaScript程式碼，後果不堪設想。

小編說：由於手機瀏覽器開啟網頁時，有時網址不可見，所以造成了釣魚網站讓人防不勝防的現象。聚美優品的使用者群體主要是女性群體，這樣的釣魚網站讓妹子的帳號等敏感資訊隨時處在危險當中。廠商不論在開發還是後來的安全架構中，都應小心謹慎，做到不該疏忽的不疏忽，不該暴露的不暴露。

毫無防備的攻擊

WooYun-2015-89779

淘寶主要功能儲存型XSS

白帽子自己註冊了一個淘寶網店，在釋出寶貝時，標題和描述都可以插入XSS跨站指令碼攻擊程式碼。

以下是白帽子的測試過程。

測試程式碼：

"><img/src=1 onerror =alert (document.cookie)// ">

就這樣彈了cookie，證明此處的確存在XSS跨站指令碼攻擊漏洞。

如果放一個吸引人的寶貝，訪問量應該不會少吧？

小編說：如果淘寶店主是個駭客，那你的網購行為還萬無一失嗎？此處白帽子的測試並未深入，作為安全從業人員應該知道，如果XSS程式碼構造得好，那駭客是可以達到自己的各種目的的。何況漏洞是在寶貝的標題和描述這樣主要功能處，攻擊來的這麼突然讓人怎麼躲得開呢？淘寶作為一個使用者群龐大、店鋪眾多的電商平臺，這樣的漏洞真的是不該出現的失誤。

WooYun-2015-90060

京東某分站XSS漏洞修復不當仍然可以執行程式碼截獲cookie

這個漏洞其實已經是第二次被白帽子提交烏雲了，在第一次提交時，廠商修復並不徹底，導致了這個“二次傷害”。

測試XSS跨站漏洞不可少的彈彈彈：

http://car.m.jd.com/jdshop.html?catId=123456;alert(document.cookie)

如果京東開發人員認為只能自己彈自己，過濾了<>'"這些就萬事大吉那就錯了。

來個直接遠端獲得cookie的。

小編說：漏洞修復的本來宗旨是為了杜絕下一次危害的發生，然而在這樣一個大網站，漏洞修復不徹底的現象是否應該發生？我想廠商心中應該有自己的答案。

WooYun-2015-114998

蘑菇街CSRF漏洞存在重置任意使用者密碼風險

在使用者快速登入的時候，會提示使用者設定密碼，如果沒有檢查這個介面而重複提交，就會出現重置密碼或者郵箱的漏洞。

測試過程如下：

• 1.用第三方帳號，快速登入到這個頁面

• 2.設定密碼，抓取請求包，這裡什麼防備都沒有,然後弄成一個表單

• 3.其中register_password和register_respassword代表設定的密碼和重複設定的密碼

• 4.測試的效果的如下(這個介面設定密碼，對已經設定密碼的正常的使用者也有效):

這個漏洞的具體利用方式也可以腦補一下,就是在和店家交談的過程中，給他連線讓他訪問。

小編說：這樣的漏洞讓人如何防備呢？點個連結密碼就被別人重置了，使用者表示很惶恐。針對該漏洞，廠商應該檢查介面的重複提交或者加上token之類的驗證就可以避免，而對於CSRF的漏洞，最好的辦法就是做好token之類的驗證。

簡單漏洞危害大

WooYun-2015-143174

蘑菇街部分使用者密碼洩露

這是一個僅僅依靠搜尋引擎就可以實現的漏洞，真的讓人表示很憂傷。

使用baidu和360好搜，搜尋如下的關鍵詞

*****gt; string(32*****

密碼是md5加密，去到cmd5解密，白帽子隨機破了幾個嘗試登入，效果如下：

小編說：作為一個同樣愛網購的妹子，表示蘑菇街對於我的吸引力還是很大的，但是，這樣可以簡單實現的漏洞著實讓我惶恐，然而在漏洞詳情的最後，白帽子也沒有理清楚這樣的漏洞是為何出現，廠商是不是應該有一個全面排查呢？安全更應該揪根究底，發現問題不是最重要的，發現問題出現的原因才是最重要的。

WooYun-2015-139742

美麗說存在SQL隱碼攻擊導致百萬使用者資訊洩露

美麗說某處存在SQL隱碼攻擊漏洞，可以使駭客透過工具得到數百萬使用者資訊。

小編說：SQL隱碼攻擊漏洞是屬於比較常出現的漏洞，由於利用工具已經成熟，所以利用手法較簡單，但這樣的漏洞往往危害極大，動輒可以使駭客得到資料庫中的大量重要資料。對於這樣經常出現、耳熟能詳的漏洞，需要廠商的細心排查檢測，避免出現這樣危害極大的漏洞。

那些羞羞的事

上面提到了很多主流的電商購物網站，而其實還有一些較為冷門的購物網站，雖然使用者群不如主流網購網站大，但是包含的資訊卻更為敏感，接下來提那麼幾個“羞羞的漏洞”。

WooYun-2015-123581

桔色成人某處訂單資訊洩露（你買了啥我知道）

在這個開放的時代，成人用品已經可以被做成電商平臺，而桔色成人就是這樣一個專注於成人用品的平臺。

在桔色成人隨便提交個訂單，找到儲存訂單的URL。

http://shop1.x.com.cn/save_orders.php?id_code=XA150629215367

可儲存為本地txt，id_code=XA150629215367即為訂單號。

XA150629215367

第一位X，第二位A男士或M女士，下面是15年06月29日21時53分+兩位隨機數。

指令碼可跑，不過會有一大部分空白，但訂單資訊真實可拿。

小編說：聽說購買成人用品時包裹上會寫得很隱秘，使用者只想偷偷買一個成人用品，卻就這樣在網際網路上被翻了出來。成人用品交易平臺在使用者資訊上是不是應該做得更完善？畢竟大家都是含蓄的中國人。

WooYun-2015-124423

都市麗人官方商城可檢視別人訂單詳情（手機,收貨地址）

這是一個簡單粗暴越權，可以看到整個訂單，包括妹子的內衣大小。

在訂單提交頁面中抓取到的請求包裡包含以下引數：

orderId=900740537&storeId=10001&catalogId=10001&langId=-7

透過修改orderId=，就可以看到妹子的訂單了。

小編說：妹子對不起，就這樣看到了你的大小！對於引數的控制不嚴造成的使用者隱私洩漏，只能說明廠商在安全上所做的工作還不夠全面。這樣私密的商品，以後還有沒有人敢在網上購買了呢？

另外，阿里巴巴作為一家業務分支龐大、業務網路複雜的公司，其旗下的天貓、淘寶等涉及的合作也較為複雜，安全是一個整體，在做好自身網路安全的同時，也要對內部員工以及第三方合作伙伴進行相應管束，不然一不小心就會成為背鍋物件，危害到自家使用者。

背鍋案例

WooYun-2015-134969

某大型商貿公司SQL隱碼攻擊（涉及天貓C店鋪5W訂單/洩露大量代理商資訊/洩露大量買家資訊）

白帽子在一個POS店鋪管理系統重置密碼處發現注入漏洞，分析內容之後，發現透過該注入漏洞可以檢視天貓C店各種資料，比如訂單、評價、買家資訊、電話、地址等。

小編說：這個漏洞本身並不是天貓的鍋，然而由於第三方的疏忽，使得天貓使用者的敏感資訊洩漏。由此也是可以看出電商安全難做，需要兼顧的方面太多。安全作為一個整體，嚴格遵循著木桶原理，哪怕任意一處的疏漏都有可能造成未知的危害。

最後，關於淘寶，小編從某渠道獲悉已有部分使用者資料流出，經驗證為真實資料，而流出的原因在這裡不做猜測，下面只看圖不說話。

漏洞預警

電商平臺上使用者資訊的洩漏不僅在危害著不懂網路安全的普通人，哪怕是懂得安全技術的白帽子也在深受其害。

WooYun-2015-150948

從不堪電話詐騙騷擾終於挖出蘇寧使用者資訊洩露漏洞（白帽子親身經歷）

白帽子自從9月17日在蘇寧實體店購買了大電器之後就接到了幾個+4008365365詐騙電話，到漏洞發出為止已接到三撥騙子的詐騙電話。在白帽子不堪忍受詐騙電話的騷擾後，挖出了蘇寧資訊洩露漏洞！據說是一個很容易就可以實現的漏洞，由於漏洞尚未公開，所以本期報告只做預警處理。

Chapter Three 寫在最後的話

---

列舉了這麼多的案例，相信大家已經感受到了網購中存在的安全問題以及面臨的安全挑戰。

以上列舉的都是2015年裡影響較大的漏洞，而在烏雲知識庫中，已經有白帽子為廠商總結了一些大的問題，原文為電商網站的安全性。

電子商務在網際網路+時代的影響下，已經成為不可避免的主流趨勢，未來的使用者數量只會更多，這樣龐大的使用者群體不僅給商家帶來了可觀的利潤，同時也成為了黑色產業的目標，在利益的驅使下，使用者資訊的買賣已經明目張膽。在這樣的安全挑戰之下，需要的不僅是電商企業對自身安全的完善，更需要第三方合作伙伴以及使用者安全意識的提高。

那麼，電商網站的安全究竟該如何完善呢？

從已經出現的漏洞案例來看，電商網站需要先明確要保護的重要資料有哪些。在小編看來，電商平臺吸附著海量使用者，上面儲存著龐大的使用者資訊，在黑色產業暗湧的今天，這些資訊應該被更加完善地儲存。電商在做好網際網路相關安全架構的同時，更應對其內部員工進行安全意識培訓和行為約束，另外安全不僅僅是技術方面的提升和內部人員的管理，對於業務網路龐大複雜的廠商，健全第三方合作伙伴管理制度也非常重要，提高第三方合作伙伴的安全意識，做到安全管理無處不在，全方位保障使用者利益。

明天就是一年一度的雙十一了，希望大家在暢爽購物的同時，也注意保管好自己的資訊保安，不要輕易點選可疑連結，也不要輕信來路不明的電話喔。

Chapter Four 貢獻者

---

感謝以下的小夥伴對本次烏雲爆告的幫助，爆告中的部分案例為白帽子匿名提交，所以未出現在下表。

再次感謝所有白帽子為了網路安全做出的努力與貢獻！

藝靈設計	烏雲白帽子（漏洞案例作者）
鳥雲廠商	烏雲白帽子（漏洞案例作者）
hh88	烏雲白帽子（漏洞案例作者）
謎一樣的	烏雲白帽子（漏洞案例作者）
q601333824	烏雲白帽子（漏洞案例作者）
pandas	烏雲白帽子（漏洞案例作者）
zj1244	烏雲白帽子（漏洞案例作者）
碎片	烏雲白帽子（漏洞案例作者）
瞌睡龍	烏雲白帽子（《電商網站的安全性總結》作者）
wudi	烏雲白帽子
瘋狗	烏雲白帽子
皂皂	烏雲爆告設計者

P.S：歡迎各位對第二期烏雲爆告提出自己的見解和建議，您可以透過郵箱聯絡我們，[email protected]