360shop 最新版,淘店通2代,可查看,修改任意用户收货地址信息。
测试站点为官方最新版演示站:
http://zhangheng.v2.taodiantong.cn
测试了官方案例,老版也存在同样注入。
我们先在官方最新版演示站:http://zhangheng.v2.taodiantong.cn注册一个账号111111@111.com
然后添加自己的收货地址,我的收货地址ID是4:
这是我自己的收货地址信息:
然后我们来修改我们的地址信息,然后抓包:
把我这里的地址ID=4改成其他的ID就能看到对应ID的收货地址信息。
这里我们改成2:
成功看到ID为2的地址信息。
这样的话,我们就可以遍历这个ID获取全站用户的信息了:
如下图,我们遍历这个id,然后就能收集到全站用户的收货地址信息。
修复方案:
控制用户权限及用户属性。
查看更多关于360shop淘店通越权操作可获取其他用户敏感信息的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15643