顺丰公司官网暴泄漏用户隐私漏洞
顺丰快递作为国内服务相当不错的快递企业一直被我所青睐和使用,由于网站支持网上下单,方便了用户操作,但是同时也带来了巨大的用户隐私安全隐患。
利用采集器批量采集用户数据:
不难看出,此漏洞可被轻易利用,造成大量用户信息泄露。在此谨希望顺丰公司尽快修复漏洞。
版权声明
本文著作权属于萝莉天下(http://lolis.info/)
任何转载必须注明出处,萝莉天下保留一切权利。
—-事态进展—-
2010年10月28日 漏洞尚未修复
2010年11月21日 漏洞依旧没有修复。将近一月过去仍然没有任何操作的顺丰让我很失望,我决定放弃对事件的追踪。
2011年3月9日
鉴于该漏洞有可能会被利用以及有可能以及被利用,参考这里。我决定删除该漏洞详细利用过程(虽然本文有很高的访问量),直至顺丰采取修复后再放出。同时,对受到本漏洞影响的各大店主及顺丰用户道歉。另外,我贴出本文发布之时和顺丰经理M2的对话记录,马赛克部分为漏洞详细利用过程,对阅读的不便我表示深深的歉意!
以上便是全部对话,本人如约7日后公开,顺丰知悉后7日调整期没有操作,本人将不负任何责任。
另外,如果您质疑该漏洞的真实性,请点击这里下载我进行过部分屏蔽用户信息,便知道真假了。
是不是被黑了.
如此邪恶?
没事,我没去顺丰注册过。 /cute
不是有没有注册过的问题,而是只要你发或收过顺丰,你就会被采集!
这个倒不是,采集的是网上寄件的列表的
类似的采集情况还有很多,可是查询是靠单号来进行的,就算不批量采集,一个一个查询又怎能逃得掉?只要有了注册用户的权限,顺风的数据库就向你敞开了.除了增加查询权限机制,在纸质的运单上添加查询码也是个办法.顺风的质量是很不错的,没想到在这个方面上如此不注重.
账号等待审核中 /huaix /huaix /huaix
为啥我感觉你会很邪恶的样子….
嘿嘿嘿,必须的,。 /haixiu /haixiu /haixiu
顺丰似乎没用过
这太不安全啦
这个问题很严重啊。
用过,没从网上注册,都是线下寄的 /lenghan
同楼上,我安全了
这太难避免了。很多公司根本没有这个社会责任
泄露了用户隐私还是很麻烦的呢。。
你的博客背景真牛
不怎么了解。。。
许久都没更新了,干嘛去啦?
学习很忙吗?
嗯…很忙…昨天不才更新了嘛!
这博客真花俏,哥不会打开第二次。 /huaix
无所谓哦,呵呵
现在还可以采集吗?
= =难道不想吐槽吗
有这事,,晕