WooYun.org

ps:据说众测的通过率要看主站的漏洞，要多交不同类型的漏洞，哈哈。真的很拼了。
漏洞网址:wap.zto.cn
测试的时候记得改user-agent哦。
首先注册了两个。先登录账号一，然后去到下单的地方
存在以下几个越权。
一：任意给别人下单

填好订单，提交的时候burp抓包

可以看到出现userid,感觉有越权，我事先已经知道我另一个账号的userid是1360224，所以我现在把userid换成1360224，提交。
然后登陆我的userid为1360224的账号

果然有订单，存在越权。如果遍历userid，哈哈你懂的。
二：任意删除别人的订单。
找到其中的一个订单点击删除

呵呵 ，这种出现越权的情况太大了，我把订单换成其他的订单号

换成截图中的，果然就删除了。（如果遍历订单号不是就可以删除所有人的订单吗，哈哈）
三：可以遍历所有的订单（这个危害最大）
来到查看订单的地方

可以看到产看订单就只要userid和订单号，我们换一换

果然，这个订单是我另一个号的。
这个地方只需要遍历userid和订单号，进行组合爆破，理论上就能获得所有订单。这真的不难，只是时间问题.这里我就测试了，比较耗时间