订单ID篡改测试
在有电子交易业务的网站中,用户登录后可以下订单购买相应产品,购买成功后,用 户可以查看订单的详情。当开发人员没有考虑登录后用户间权限隔离的问题时,就会导致 平行权限绕过漏洞。攻击者只需注册一个普通账户,就可以通过篡改、遍历订单id,获得 其他用户订单详情,其中多数会包括用户的姓名、身份证、地址、电话号码等敏感隐私信 息。黑色产业链中的攻击者通常会利用此漏洞得到这些隐私信息。
修复建议
后台查看订单时要通过Session机制判断用户身份,做好平行权限控制,服务端需要
校验相应订单是否和登录者的身份一致,如发现不一致则拒绝请求,防止平行权限绕过漏 洞泄露用户敏感个人隐私信息