【漏洞学习】DVP-2018-00885（订单越权遍历+泄露敏感信息）

FLy_鹏程万里

于 2018-11-21 17:17:00 发布

阅读量147

点赞数

分类专栏： # DVP漏洞案例学习

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.csdn.net/Fly_hps/article/details/84326271

版权

DVP漏洞案例学习专栏收录该内容

25 篇文章 2 订阅

订阅专栏

简要描述：

越权操作：可通过修改订单号遍历订单信息
信息泄露：泄露了用户姓名、手机号、地址信息

漏洞证明：

1.登录国盾区块链通用积分应用中心通付商城，打开商城首页，url：https://www.guodunc.cn/tfp/mall/index.aspx，任选一个商品下订单：

立即购买：

下订单：

下单成功：

到我的订单查看订单详情：

详情：

修改orderid，可遍历订单信息：

修复方案：

添加权限校验

FLy_鹏程万里

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
【漏洞学习】DVP-2018-00885（订单越权遍历+泄露敏感信息）

简要描述：越权操作：可通过修改订单号遍历订单信息信息泄露：泄露了用户姓名、手机号、地址信息漏洞证明：1.登录国盾区块链通用积分应用中心通付商城，打开商城首页，url：https://www.guodunc.cn/tfp/mall/index.aspx，任选一个商品下订单：立即购买：下订单：下单成功：到我的订单查看订单详情：详情：修改or...
复制链接

扫一扫

专栏目录

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

打赏作者

FLy_鹏程万里 你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20

扫码支付：¥1

获取中

扫码支付

您的余额不足，请更换扫码支付或充值

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。