WooYun.org

测试过程：
1 为方便操作，A.B用户在网上商城分别在网上商城下单：
A用户登录手机客户端查看保单(李先生)：

查看B用户保单号以及信息（王先生）：

手机端查看时修改请求数据中的保单号

手机端看到B用户保单信息：

看来越权存在,测试了另一个保单号：

看着关键信息被隐藏掉，但是查看请求数据返回值时发现，返回了全部的信息：

看保单号的格式，应该是+1自增长，
测试了几个数据：
10万：

100万：

1000万：

1500万：

由此可证明数据量已经达到1800多万，使用burp进行了测试，只遍历了一下最后46000多条数据：

跑到3600条时查看了一下，有35600多条记录(没有截取地址信息)：

几乎每条请求都有返回身份证号，目前共有1866万余条数据，去掉个别空的以及最开始的测试数据，数据量达到1700万应该没有问题。
从返回数据可以看出，泄露了投保人员的姓名，性别，证件号，家庭住址，手机号等隐私信息。被其他保险公司利用只是丢失客户，如果被非法分子利用，有如此详细的信息，诈骗成功的机会应该非常高。
为了测保单，都真的花钱买了。。。。