格林豪泰可查看任意用户订单(五一我知道你和谁一起住了)

漏洞详情

披露状态:

2014-04-30: 细节已通知厂商并且等待厂商处理中
2014-05-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

不登录就可查看任意订单,姓名、手机、房间号,足够了是吧?

详细说明:

问题出现在格林豪泰手机版,下载app应用,挂上代理,然后点到订单位置,获取到订单详情的接口:

1.png



POST /Api/index.php/AbUser/getOrderDetail/ HTTP/1.1
Host: a1.greentree.cn:8029

orderId=***** (日期+8位数字)





然后换个orderid,就看到了别人的订单信息:

2.png

漏洞证明:

看图:

2.png

修复方案:

1. 判断是否登录

2. 判断订单是否属于当前用户

3. 检查其它接口是否存在越权问题

版权声明:转载请注明来源 blue@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-04-30 16:55

厂商回复:

最新状态:

暂无


漏洞评价: