WooYun.org

进入订单中心后，以我帐号为例，地址是：http://www.suning.com/webapp/wcs/stores/servlet/MyOrder?storeId=10052&catalogId=10051&otherOrder=1
出现了我的产品订单：

然后点击查看详情，就会出现订单详细信息，包含订单时间、收货人姓名、联系电话、收货地址、支付及配送方式、发票信息、订单金额等资料。经过修改网址参数多次实验，发现漏洞很大，一个简单的网址就可以把订单详情显示出来，要是写个脚本跑数据，肯定有的订单都出来。漏洞地址：http://member.suning.com/emall/queryLineOrderDetail?omsOrderId=（修改数字参数，可出现不同订单详情）
举例：http://member.suning.com/emall/queryLineOrderDetail?omsOrderId=000279131109

http://member.suning.com/emall/queryLineOrderDetail?omsOrderId=000279131219

http://member.suning.com/emall/queryLineOrderDetail?omsOrderId=000276131219

http://member.suning.com/emall/queryLineOrderDetail?omsOrderId=000276231219

http://member.suning.com/emall/queryLineOrderDetail?omsOrderId=000176231219

http://member.suning.com/emall/queryLineOrderDetail?omsOrderId=000156231219

……………………………………
个人信息改改数字就出来，对骗子来说多么方便啊！怪不得骗子这么猖狂！！！
https://www.baidu.com/s?wd=4008365365%E8%AF%88%E9%AA%97 看看多少受害者

发个公告几个人能看到呢？http://club.suning.com/forum.php?mod=viewthread&tid=2260494&extra=page%3D1%26filter%3Dtypeid%26typeid%3D1609%26typeid%3D1609