频道栏目
首页 > 安全 > 网站安全 > 正文
广之旅用户越权访问订单导致大量敏感信息泄露(含身份证)
2015-12-23 09:10:27           
收藏   我要投稿

未做好访问控制措施,导致用户可以越权访问所有其它订单,导致订单的姓名,手机号,身份证等敏感信息泄露。

0x00:随便用一个手机注册

0x01: 登录后,查询订单位置

https://www.gzl.com.cn/b2c-web/member/order/201511260000289/Tour.html

其中201511260000289是订单编号

修改该值可以越权查询其它人的订单,订单号由日期+7位数字拼接而成。

随机改几个数即可查到其它人订单。

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

0x02:后果

1)存在身份证、手机号、邮箱、出行等敏感信息泄露

2)从订单号可以猜测出每天的订单量貌似推测广之旅每天的订单数量以及订单金额

为测试一下想法,试了一下,2015年11月25日,订单量为275单。

严重声明:只是跑了一下这一天的订单,未保存订单数据,更也未统计订单金额,仅仅看一下一天的订单量,其它什么都没看,我保证。

6.jpg

解决方案:

1)是不是可以在访问查询订单前先再验证一下权限?

2)我对广之旅的产品还是挺感兴趣的,因为经常在上面购买旅游产品,真不知道我的信息被卖了几回了~~ 。 最主要是我没看到提供删除订单的功能,让我的信息都暴露在大庭广众之下,我被逼无奈才赶紧提交漏洞,希望广之旅赶紧修复。

点击复制链接 与好友分享!回本站首页
上一篇:永和食品某处存在SQL注入可泄露大量数据可shell
下一篇:民安财产保险从弱口令到Getshell
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站