中国电信订单泄露(涉及用户各项隐私信息)下载

用户姓名,联系方式,家庭住址,物流情况,产品信息都有......

1.http://www.189.cn/dqmh/virtualStation/virtualMyOrderInfo.do?method=myOrderInfo&orderId=000000000000008320130624401048



2.http://www.189.cn/dqmh/virtualStation/virtualMyOrderInfo.do?method=myOrderInfo&orderId=000000000000008320130626485753&forderid=000000000000008320130626485753



3.http://www.189.cn/dqmh/virtualStation/virtualMyOrderInfo.do?method=myOrderInfo&orderId=000000000000008320130624405756



4.http://www.189.cn/dqmh/virtualStation/virtualMyOrderInfo.do?method=myOrderInfo&orderId=600104833000008320130619256383



5.http://www.189.cn/dqmh/virtualStation/virtualMyOrderInfo.do?method=myOrderInfo&orderId=600104833100008320130620282945



等等......

orderID值没有控制好,目测这些orderID,应该是可以遍历的

堵漏方法:电信的大牛你们比我更懂

上一篇: Z-Blog的php版官方blog存在sql注入下载
下一篇: 海豚浏览器一处设计缺陷可导致网站xss下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细