简要描述:
越权操作:可通过修改订单号遍历订单信息
信息泄露:泄露了用户姓名、手机号、地址信息
漏洞证明:
1.登录国盾区块链通用积分应用中心通付商城,打开商城首页,url:https://www.guodunc.cn/tfp/mall/index.aspx,任选一个商品下订单:
立即购买:
下订单:
下单成功:
到我的订单查看订单详情:
详情:
修改orderid,可遍历订单信息:
修复方案:
添加权限校验
越权操作:可通过修改订单号遍历订单信息
信息泄露:泄露了用户姓名、手机号、地址信息
1.登录国盾区块链通用积分应用中心通付商城,打开商城首页,url:https://www.guodunc.cn/tfp/mall/index.aspx,任选一个商品下订单:
立即购买:
下订单:
下单成功:
到我的订单查看订单详情:
详情:
修改orderid,可遍历订单信息:
修复方案:
添加权限校验