管理系统完全不设防 海底捞等大量外卖用户信息泄露

xlysoft

俗话说，一见钟情钟的是脸，而这份收益又受限于有限的保质期。经盒子君研究数载，发现找个相伴一生的另一半最重要就是：口味相投。如果一日三餐都吃不到一块儿，那未来五十年的五万四千七百五十顿饭都很悲催了……

涉及厂商：

上海智龙企业管理有限公司

漏洞编号：

互联网漏洞 – vulbox-2015-06516

不设防的后果之一：大量外卖用户信息泄露

这时从天而降一个白帽子大侠送来大礼——一个可以大型外卖系统越权访问漏洞！可以登录包括海底捞、棒约翰、老娘舅、永和、吉野家、万达、小杨生煎、85度等多家知名餐饮巨头在全国范围内的管理订单后台，查看包括用户、电话、地址、订单详情等在内的诸多信息。

我滴个乖乖，信息量好大……由于白领和学生是外卖市场的主要人群，所以通过外卖数据“找到”心上人并非难事：

1、从名字可以看出性别，从食物分量可以推测是是否单身；

2、从手机号可以去追踪到微信或者其他平台看看真人或者深入了解；

3、在了解了妹子的工作和住所之后，有种将其一把搂入怀中的冲动……

终于可以找到那个在一起吃一辈子饭的她了！

不设防的后果之二：任意查找、遍历、修改订单，外卖管理无所不能

S1：选一家餐厅

S2：找查门店（最好住我家附近lol）

S3：众里寻她千百度

彩蛋：不光能看，还能修改订单耶！把支付过的通通送到偶们办公室来，盒子君中午请大家吃饭啦！

我ca，居然看到了抢了我前女友的那混蛋！我得改改，要让你吃到破产！

安全建议

建议厂商快速修复漏洞，对如此强大的后台系统增加访问权限控制

据不完全统计，盒子君要从87w永和大王订单、16w披萨到订单、52w棒约翰和4.8w老娘舅订单中找口味相投的妹子！感觉这工作量还是有点大，有没有志愿者来帮帮忙啊？

*作者/漏洞盒子，文章来自FreeBuf黑客与极客（FreeBuf.COM）