问题点在于订单中心-酒店订单模块
翻看了一下在2013年8月在苏宁易购取消了2个订单,发现竟然还有漏洞存在
点击订单中的查看
修改当前订单号值hotelOrderId即可查看其他用户信息
http://jiudian.suning.com/hotelpay-web/myHotelOrder/showHotelOrderDetail.htm?hotelOrderId=15xxx
批量遍历用户信息 buro设置订单编号参数值范围,通过关键字搜索直接获取用户信息
已经证明
开发应该懂的
记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华苏宁易购主站某模块存在批量遍历用户信息
2015-07-01 06:20
修复方案:
想收藏或者和大家分享这篇好文章→复制链接地址