这种厂商管理这么电商的这么多订单,本身就是个严重的安全缺陷罗。天猫也好京东也好安全做得很好,但提供这些API接口给周边小公司管理商家订单照样是大安全问题。此次问题出在一个订单管理ERP,貌似是此类管理软件中用户量最多的,管易ERP系统。涉及的店铺很多。韩都衣舍、雪中飞、鸿星尔克、红蜻蜓。。。。deng等等等。反正N多了!
案例地址:http://**.**.**.**/index.php?m=content&c=index&a=lists&catid=18
以下截取自管易的官方说明。
简单点讲就是个API接口存在sql注入的问题。
往严重的讲就是这个API可以查询到N多信息,造成N多信息泄漏的问题。
注入:
会员信息:
以淘宝店铺信息:
这个带nick,AppKey,AppSecret 的哦!干啥用的?我不知道!嘿嘿!
附带所有表名: