WooYun.org

http://11185.cn/ 中国邮政网上营业厅
因测试需要，我注册了一个帐号
用户名为：wooyunyana 邮箱为：[email protected]

登录个人中心-账户信息，直接点提交抓包数据
将post请求

contact.contactId=1155560&contact.customer.customerName=wooyunyana&contact.pealName=&provinceV=&contact.province=&cityV=&contact.city=&districtV=&contact.district=null&contact.address=&button=%E6%8F%90%E4%BA%A4

customerName=wooyunyana 修改成想要更改的用户名 例：wooyun8
然后提交，这时候我们可以看到用户名已经修改成功了

用修改的帐号也可以成功登录，但是我后续测试了一下，如果更改成已注册的帐号
虽然用户名可以成功更改，但无法用原帐号密码登录更改后账户密码
这里就有点鸡肋，但是我注意到刚才提交的那个post请求
除了有用户名参数，还有一个contact.contactId=1155560
那么是否可以更改ID来遍历用户信息呢？
答案是肯定的。
为了证实可行性，这里我随机遍历几个ID
contact.contactId=3：

contact.contactId=10：

contact.contactId=100：

contact.contactId=100000：

我自己的账户ID为1155560，也就是说，在我之前仍有百万用户！
也可以依法遍历出！
如果被有心人士利用，后果你们比我更懂吧...