基本介绍
在有电子交易业务的网站中用户登录后可以下订单购买相应产品,购买成功后用户可以查看订单的详情,当开发人员没有考虑登录后用户间权限隔离的问题时就会导致平行权限绕过漏洞,攻击者只需注册一个普通账户就可以通过篡改、遍历订单id,获得其他用户订单详情,其中多数会包括用户的姓名、身份证、地址、电话号码等敏感隐私信息,黑色产业链中的攻击者通常会利用此漏洞得到这些隐私信息
测试过程
攻击者注册一个普通账户,然后篡改、遍历订单ID,获得其他用户订单详情,测试流程如下图所示:
简易示例
用户先向购物车添加一些商品,然后提交订单时可以将请求中的addressId参数修改为其他用户,就可以在添加的订单中看到其他用户