效率源数据恢复论坛

 找回密码
 免费注册

QQ登录

用新浪微博登录

快捷导航
查看: 1695|回复: 0
打印 上一主题 下一主题

[行业交流] 管理系统完全不设防 海底捞等大量外卖用户信息泄露

[复制链接]

646

主题

809

帖子

3587

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3587
跳转到指定楼层
楼主
发表于 2015-5-6 10:26:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

俗话说,一见钟情钟的是脸,而这份收益又受限于有限的保质期。经盒子君研究数载,发现找个相伴一生的另一半最重要就是:口味相投。如果一日三餐都吃不到一块儿,那未来五十年的五万四千七百五十顿饭都很悲催了……


涉及厂商:

上海智龙企业管理有限公司


漏洞编号:

互联网漏洞 – vulbox-2015-06516


不设防的后果之一:大量外卖用户信息泄露


这时从天而降一个白帽子大侠送来大礼——一个可以大型外卖系统越权访问漏洞!可以登录包括海底捞、棒约翰、老娘舅、永和、吉野家、万达、小杨生煎、85度等多家知名餐饮巨头在全国范围内的管理订单后台,查看包括用户、电话、地址、订单详情等在内的诸多信息。


我滴个乖乖,信息量好大……由于白领和学生是外卖市场的主要人群,所以通过外卖数据“找到”心上人并非难事:


1、从名字可以看出性别,从食物分量可以推测是是否单身;

2、从手机号可以去追踪到微信或者其他平台看看真人或者深入了解;

3、在了解了妹子的工作和住所之后,有种将其一把搂入怀中的冲动……


终于可以找到那个在一起吃一辈子饭的她了!


不设防的后果之二:任意查找、遍历、修改订单,外卖管理无所不能


S1:选一家餐厅


S2:找查门店(最好住我家附近lol)


S3:众里寻她千百度


彩蛋:不光能看,还能修改订单耶!把支付过的通通送到偶们办公室来,盒子君中午请大家吃饭啦!


我ca,居然看到了抢了我前女友的那混蛋!我得改改,要让你吃到破产!



安全建议

建议厂商快速修复漏洞,对如此强大的后台系统增加访问权限控制


据不完全统计,盒子君要从87w永和大王订单、16w披萨到订单、52w棒约翰和4.8w老娘舅订单中找口味相投的妹子!感觉这工作量还是有点大,有没有志愿者来帮帮忙啊?


*作者/漏洞盒子,文章来自FreeBuf黑客与极客(FreeBuf.COM)



分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

关闭

站长推荐上一条 /3 下一条

Copyright(C)2015-2016 四川效率源信息安全技术股份有限公司 版权所有|蜀ICP备09015844号|效率源数据恢复论坛  

GMT+8, 2024-11-27 23:51 , Processed in 0.173889 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2014 技术支持: Weixiaoduo.com

快速回复 返回顶部 返回列表