美国东航网站严重订单信息泄漏及权限绕过问题

美国东航网站存在严重安全漏洞，可以泄漏所有人的订单信息，并且可以取消任何人订单

http://us.ceair.com/muovc/newsitefront/order/order!viewOrderAfterPay.shtml?ordNo=16030571358

使用这个链接可以查看订单详情，能看到订票人姓名，护照号码，以及完整的行程信息。只要修改最后的ordNo，就可以访问不同的订单，可以观察到前六位是日期，年月日的格式，后五位应该是递增的，可以很容易写一个脚本去遍历当天所有订单，这样就可以基本下载到所有人的订单。

当打开一个有效订单的时候，右侧会出现“refund”按钮，可以取消订单。

http://us.ceair.com/muovc/newsitefront/order/order!viewOrderAfterPay.shtml?ordNo=16030571358

解决方案：

订单详情及操作必须登录后才能访问