圆通快递用户权限判断错误导致可查看任意订单

圆通快递用户权限判断错误导致可查看任意订单

2012-12-05 12:50 来源:乌云 作者:末信人气指数: 次

漏洞标题: 圆通快递查看任意网上下单的订单信息漏洞
相关厂商: 圆通
漏洞作者: 喵娘
提交时间: 2012-10-21
公开时间: 2012-12-05
漏洞类型: 敏感信息泄露
危害等级: 中
自评Rank: 5
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞详情

披露状态:

2012-10-21: 细节已通知厂商并且等待厂商处理中
2012-10-24: 厂商已经确认,细节仅向厂商公开
2012-11-03: 细节向核心白帽子及相关领域专家公开
2012-11-13: 细节向普通白帽子公开
2012-11-23: 细节向实习白帽子公开
2012-12-08: 细节向公众公开

简要描述:
没有对查询订单操作再次进行用户权限做判断,导致可以查看任意订单信息,从而泄漏收发件双方的个人信息

详细说明:
订单ID目测为线性增长,很方便利用

漏洞证明:

圆通快递用户权限判断错误导致可查看任意订单

自己注册个 下个单知道了查询网上下单的地址,然后手贱就改了下查询ID...结果....

圆通快递用户权限判断错误导致可查看任意订单

回头我想删啊,谁叫我个懒人不高兴打电话啊!混蛋

修复方案:
查询时依然进行权限判断,不过圆通应该不会理睬,不知道个人发完后能不能把这个订单删除

为您推荐:订单用户权限圆通快递

上一篇:搜狐某子站xss跨站脚本攻击漏洞

下一篇:上海市EMS邮政速递GPS监控后台弱口令

其他类似的新闻

一个小老板的奋斗之路--我不懂网络营销就活该没订单吗?

我不懂网络营销就活该没订单吗?

基于IBM WebSphere Commerce和Sterling OMS的下一代订单管理集成解决方案

从订单出发的物料管理计划

生产订单的开工或完工日期完成

MFG.com带领欧美海外实力买家携采购订单探访亚洲

借助电子商务外包之势 让订单飞

IBM Crocs订单中心改善运营效率及客户体验

客户说我不懂做业务,却又给我下订单!

台积电拿下首张高端CPU代工订单进入代工市场

其他相关的新闻

设计缺陷导致凡客中可查看他人订单信息

SQL Server中db_owner用户权限提升漏洞

聚U慧商城设计缺陷造成支付订单金额可任意修改

国内某知名3C在线商城漏洞造成可偷换商品价格生成订单

新蛋网被曝光作废任意新蛋用户订单漏洞