记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

广之旅用户越权访问订单导致大量敏感信息泄露(含身份证)

2015-12-23 15:35

未做好访问控制措施,导致用户可以越权访问所有其它订单,导致订单的姓名,手机号,身份证等敏感信息泄露。

0x00:随便用一个手机注册

0x01: 登录后,查询订单位置

http://www.gzl.com.cn/b2c-web/member/order/201511260000289/Tour.html

其中201511260000289是订单编号

修改该值可以越权查询其它人的订单,订单号由日期+7位数字拼接而成。

随机改几个数即可查到其它人订单。

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

0x02:后果

1)存在身份证、手机号、邮箱、出行等敏感信息泄露

2)从订单号可以猜测出每天的订单量貌似推测广之旅每天的订单数量以及订单金额

为测试一下想法,试了一下,2015年11月25日,订单量为275单。

严重声明:只是跑了一下这一天的订单,未保存订单数据,更也未统计订单金额,仅仅看一下一天的订单量,其它什么都没看,我保证。

6.jpg

解决方案:

1)是不是可以在访问查询订单前先再验证一下权限?

2)我对广之旅的产品还是挺感兴趣的,因为经常在上面购买旅游产品,真不知道我的信息被卖了几回了~~ 。 最主要是我没看到提供删除订单的功能,让我的信息都暴露在大庭广众之下,我被逼无奈才赶紧提交漏洞,希望广之旅赶紧修复。


知识来源: www.2cto.com/Article/201512/454835.html

阅读:113077 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“广之旅用户越权访问订单导致大量敏感信息泄露(含身份证)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云