当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156200

漏洞标题:广之旅用户越权访问订单导致大量敏感信息泄露(含身份证)

相关厂商:gzl.com.cn

漏洞作者: taonese

提交时间:2015-11-27 10:50

修复时间:2016-01-16 08:30

公开时间:2016-01-16 08:30

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-27: 细节已通知厂商并且等待厂商处理中
2015-12-02: 厂商已经确认,细节仅向厂商公开
2015-12-12: 细节向核心白帽子及相关领域专家公开
2015-12-22: 细节向普通白帽子公开
2016-01-01: 细节向实习白帽子公开
2016-01-16: 细节向公众公开

简要描述:

未做好访问控制措施,导致用户可以越权访问所有其它订单,导致订单的姓名,手机号,身份证等敏感信息泄露。

详细说明:

0x00:随便用一个手机注册
0x01: 登录后,查询订单位置
http://www.gzl.com.cn/b2c-web/member/order/201511260000289/Tour.html
其中201511260000289是订单编号
修改该值可以越权查询其它人的订单,订单号由日期+7位数字拼接而成。
随机改几个数即可查到其它人订单。

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


0x02:后果
1)存在身份证、手机号、邮箱、出行等敏感信息泄露
2)从订单号可以猜测出每天的订单量貌似推测广之旅每天的订单数量以及订单金额
为测试一下想法,试了一下,2015年11月25日,订单量为275单。
严重声明:只是跑了一下这一天的订单,未保存订单数据,更也未统计订单金额,仅仅看一下一天的订单量,其它什么都没看,我保证。

6.jpg


漏洞证明:

同上

修复方案:

1)是不是可以在访问查询订单前先再验证一下权限?
2)我对广之旅的产品还是挺感兴趣的,因为经常在上面购买旅游产品,真不知道我的信息被卖了几回了~~ 。 最主要是我没看到提供删除订单的功能,让我的信息都暴露在大庭广众之下,我被逼无奈才赶紧提交漏洞,希望广之旅赶紧修复。

版权声明:转载请注明来源 taonese@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-12-02 08:28

厂商回复:

已确认,谢谢

最新状态:

暂无