当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114952

漏洞标题:谁泄露了我们的订单信息(互联网电商订单泄露如此轻而易举)

相关厂商:百度

漏洞作者: qhwlpg

提交时间:2015-05-20 10:30

修复时间:2015-05-25 10:32

公开时间:2015-05-25 10:32

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-20: 细节已通知厂商并且等待厂商处理中
2015-05-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

信息泄露问题层出不穷,厂商修复了信息泄露漏洞之后真的有用吗?各种信息依然泄露,就看你怎么把它挖出来!求个雷劈!我想参加乌云峰会--

详细说明:

一.百度搜索 https://www.baidu.com/s?wd=intitle%3A%E8%AE%A2%E5%8D%95%E8%AF%A6%E6%83%85&pn=20&oq=intitle%3A%E8%AE%A2%E5%8D%95%E8%AF%A6%E6%83%85&ie=utf-8&usm=1&rsv_idx=1&rsv_pq=972152cc00026cdc&rsv_t=07eajB6TlNb1FYCSrLQX3Z%2FOKjRctLem7dG3DrS7uDfco6FVUoHp0X%2BEeFU

xl1.png


大量信息泄露,大部分可以直接访问,访问不了的,用快照也能访问!
http://order.ny.cn/storeOrderDetail.htm?orderNo=15030801994800

xl2.png


http://www.laiyihuo.com/PersonCenter/HistoryDetail/03433ee6-0336-415d-8323-237a0af9e5a3

xl3.jpg


http://hi.189.cn/shop/orderSearch/orderDetail.shtml?orderCondition.webOrder=645F0D43B5DC4B62736FBADB978C2B48556477A7A235299A&channelCode=10&actionType=GR_ZX

xl4.png


连百度自己的也有泄露
http://map.baidu.com/detail?qt=movie&act=detailpc&id=14102144&sign=a8aa9921ae7d10f33dc6698df744d653609d3b96&tab=1&from=pc&is_c_order=0

xl5.jpg


xl6.jpg


携程两枚订单
https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&rsv_idx=1&tn=baidu&wd=inurl%3Ainsurance%2Forder%2Fdetailreadonly&rsv_pq=860930e00000bf00&rsv_t=b288Uvz9ztEcwTYkgdiisOYm1VRlFB6ayS%2F3g4SHh6kdE07doGcjezvpyvk&rsv_enter=1&inputT=1291&rsv_sug3=15&rsv_sug1=6&rsv_n=2&bs=inurl%3B

xl7.png


打不开了,但是百度快照就能打开

xl8.jpg


xl9.png


xl10.jpg


二.搜搜

xl11.jpg


xl12.png


xl13.jpg


三.google

xl14.jpg


漏洞证明:

以上全部未登录,非水平越权!!!并且大都订单号都可以爆破遍历!!!

修复方案:

。。。大数据时代,我也不知道了,求勿查水表!

版权声明:转载请注明来源 qhwlpg@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-25 10:32

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-20 10:35 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我想参加乌云峰会

  2. 2015-05-20 10:40 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    我也想参加乌云峰会

  3. 2015-05-20 10:42 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    我特别想参加乌云峰会

  4. 2015-05-20 10:44 | 管管侠 ( 核心白帽子 | Rank:1368 漏洞数:108 | 休息几日,让你们先装会!!!)

    我也特别想参加乌云峰会

  5. 2015-05-20 10:46 | Archers ( 普通白帽子 | Rank:178 漏洞数:41 | baby)

    我也特别特别想参加乌云峰会

  6. 2015-05-20 10:50 | f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)

    我也特别特别特别想参加乌云峰会

  7. 2015-05-20 10:52 | Blackgame ( 实习白帽子 | Rank:70 漏洞数:13 | dddd)

    我也特别特别特别特别想参加乌云峰会

  8. 2015-05-20 10:55 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    我也特别特别特别特别特别想参加乌云峰会

  9. 2015-05-20 11:01 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    我也别特别特别特别特别特别特想参加乌云峰会

  10. 2015-05-20 11:15 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    mark

  11. 2015-05-20 11:31 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    我只想参加乌云沙龙,什么时候来我大福建

  12. 2015-05-20 11:39 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    名字变了,哈哈

  13. 2015-05-20 12:43 | 番茄炒蛋 ( 普通白帽子 | Rank:106 漏洞数:31 | test)

    我也别特别特别特别特别特别特想参加乌云峰会

  14. 2015-05-25 10:42 | tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)

    我也别特别特别特别特别特别特想参加乌云峰会 抱持队形

  15. 2015-05-25 10:49 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    看到内容后我也是醉了,怎么产生的呢

  16. 2015-05-25 14:30 | ca1n ( 普通白帽子 | Rank:100 漏洞数:22 | not yet)

    @茜茜公主 本身设计的问题未授权访问被百度爬虫爬到了吧

  17. 2015-05-25 19:54 | im503 ( 路人 | Rank:16 漏洞数:8 | 失踪的路人甲| Rank:-503 漏洞数:0 |爱pyth...)

    爬虫真厉害

  18. 2015-05-26 18:06 | pw0 ( 路人 | Rank:7 漏洞数:2 | 爱推理,爱计算机,爱社工,爱挖有(wei)...)

    我也别特别特别特别特别特别特别特想参加乌云峰会 来大东北!