顺丰公司官网暴泄漏用户隐私漏洞
顺丰快递作为国内服务相当不错的快递企业一直被我所青睐和使用,由于网站支持网上下单,方便了用户操作,但是同时也带来了巨大的用户隐私安全隐患。
利用采集器批量采集用户数据:
不难看出,此漏洞可被轻易利用,造成大量用户信息泄露。在此谨希望顺丰公司尽快修复漏洞。
版权声明
本文著作权属于萝莉天下(http://lolis.info/)
任何转载必须注明出处,萝莉天下保留一切权利。
—-事态进展—-
2010年10月28日 漏洞尚未修复
2010年11月21日 漏洞依旧没有修复。将近一月过去仍然没有任何操作的顺丰让我很失望,我决定放弃对事件的追踪。
2011年3月9日
鉴于该漏洞有可能会被利用以及有可能以及被利用,参考这里。我决定删除该漏洞详细利用过程(虽然本文有很高的访问量),直至顺丰采取修复后再放出。同时,对受到本漏洞影响的各大店主及顺丰用户道歉。另外,我贴出本文发布之时和顺丰经理M2的对话记录,马赛克部分为漏洞详细利用过程,对阅读的不便我表示深深的歉意!
以上便是全部对话,本人如约7日后公开,顺丰知悉后7日调整期没有操作,本人将不负任何责任。
另外,如果您质疑该漏洞的真实性,请点击这里下载我进行过部分屏蔽用户信息,便知道真假了。
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.1; IEShow Toolbar; IEShow zhaiToolBar; 360SE)
是不是被黑了.
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
如此邪恶?
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
没事,我没去顺丰注册过。 /cute
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3 TheWorld Chrome
不是有没有注册过的问题,而是只要你发或收过顺丰,你就会被采集!
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)
这个倒不是,采集的是网上寄件的列表的
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3 TheWorld Chrome
类似的采集情况还有很多,可是查询是靠单号来进行的,就算不批量采集,一个一个查询又怎能逃得掉?只要有了注册用户的权限,顺风的数据库就向你敞开了.除了增加查询权限机制,在纸质的运单上添加查询码也是个办法.顺风的质量是很不错的,没想到在这个方面上如此不注重.
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.11 (KHTML, like Gecko) Chrome/8.0.561.0 Safari/534.11
账号等待审核中 /huaix /huaix /huaix
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Maxthon 2.0)
为啥我感觉你会很邪恶的样子….
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.11 (KHTML, like Gecko) Chrome/8.0.561.0 Safari/534.11
嘿嘿嘿,必须的,。 /haixiu /haixiu /haixiu
Nokia 5320/UCWEB7.4.0.57/28/999
顺丰似乎没用过
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.7 (KHTML, like Gecko) Chrome/7.0.517.41 Safari/534.7
这太不安全啦
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10
这个问题很严重啊。
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; aff-kingsoft-ciba; staticlogin:product=cbpro09&act=login&info=ZmlsZW5hbWU9Y2liYXNldHVwLmV4ZSZtYWM9RTQzOTlGQjAxODc4NDA4NTlEN0Uw
用过,没从网上注册,都是线下寄的 /lenghan
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
同楼上,我安全了
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; TheWorld)
这太难避免了。很多公司根本没有这个社会责任
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Maxthon 2.0)
泄露了用户隐私还是很麻烦的呢。。
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.3)
你的博客背景真牛
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; WoShiHoney.B; .NET CLR 2.0.50727)
不怎么了解。。。
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
许久都没更新了,干嘛去啦?
学习很忙吗?
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; QQDownload 667; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Maxthon 2.0)
嗯…很忙…昨天不才更新了嘛!
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
这博客真花俏,哥不会打开第二次。 /huaix
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; QQDownload 667; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Maxthon 2.0)
无所谓哦,呵呵
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)
现在还可以采集吗?
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.107 Safari/534.13
= =难道不想吐槽吗
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQPinyin 722; Alexa Toolbar; 4399Box.1335; 4399Box.1335)
有这事,,晕