美国东航网站严重订单信息泄漏及权限绕过问题
程序员文章站
2022-06-22 19:29:36
美国东航网站存在严重安全漏洞,可以泄漏所有人的订单信息,并且可以取消任何人订单
http://us.ceair.com/muovc/newsitefront/order/order!view...
美国东航网站存在严重安全漏洞,可以泄漏所有人的订单信息,并且可以取消任何人订单
http://us.ceair.com/muovc/newsitefront/order/order!viewOrderAfterPay.shtml?ordNo=16030571358
使用这个链接可以查看订单详情,能看到订票人姓名,护照号码,以及完整的行程信息。只要修改最后的ordNo,就可以访问不同的订单,可以观察到前六位是日期,年月日的格式,后五位应该是递增的,可以很容易写一个脚本去遍历当天所有订单,这样就可以基本下载到所有人的订单。
当打开一个有效订单的时候,右侧会出现“refund”按钮,可以取消订单。
http://us.ceair.com/muovc/newsitefront/order/order!viewOrderAfterPay.shtml?ordNo=16030571358
解决方案:
订单详情及操作必须登录后才能访问