顺丰公司官网暴泄漏用户隐私漏洞

2010年10月24日 分类: 网来往事

顺丰快递作为国内服务相当不错的快递企业一直被我所青睐和使用,由于网站支持网上下单,方便了用户操作,但是同时也带来了巨大的用户隐私安全隐患。

 

利用采集器批量采集用户数据:

不难看出,此漏洞可被轻易利用,造成大量用户信息泄露。在此谨希望顺丰公司尽快修复漏洞。

版权声明

本文著作权属于萝莉天下(http://lolis.info/

任何转载必须注明出处,萝莉天下保留一切权利。

—-事态进展—-

2010年10月28日  漏洞尚未修复

2010年11月21日 漏洞依旧没有修复。将近一月过去仍然没有任何操作的顺丰让我很失望,我决定放弃对事件的追踪。

2011年3月9日  

鉴于该漏洞有可能会被利用以及有可能以及被利用,参考这里。我决定删除该漏洞详细利用过程(虽然本文有很高的访问量),直至顺丰采取修复后再放出。同时,对受到本漏洞影响的各大店主及顺丰用户道歉。另外,我贴出本文发布之时和顺丰经理M2的对话记录,马赛克部分为漏洞详细利用过程,对阅读的不便我表示深深的歉意!

以上便是全部对话,本人如约7日后公开,顺丰知悉后7日调整期没有操作,本人将不负任何责任。

另外,如果您质疑该漏洞的真实性,请点击这里下载我进行过部分屏蔽用户信息,便知道真假了。

标签: ,
发表评论 | Trackback

26 条评论 于 “顺丰公司官网暴泄漏用户隐私漏洞”

  1. 东奇博客传播
    2010年10月29日22:10
    1

    是不是被黑了.

    回复
  2. forever
    2010年10月30日03:30
    2

    如此邪恶?

    回复
  3. 秦大少
    2010年10月30日09:14
    3

    没事,我没去顺丰注册过。 /cute

    回复
    • locx
      2010年10月30日16:49
      4

      不是有没有注册过的问题,而是只要你发或收过顺丰,你就会被采集!

      回复
      • 灵曦
        2010年10月30日20:05
        5

        这个倒不是,采集的是网上寄件的列表的

        回复
  4. locx
    2010年10月30日18:50
    6

    类似的采集情况还有很多,可是查询是靠单号来进行的,就算不批量采集,一个一个查询又怎能逃得掉?只要有了注册用户的权限,顺风的数据库就向你敞开了.除了增加查询权限机制,在纸质的运单上添加查询码也是个办法.顺风的质量是很不错的,没想到在这个方面上如此不注重.

    回复
  5. 小邪
    2010年10月31日07:25
    7

    账号等待审核中 /huaix /huaix /huaix

    回复
    • 灵曦
      2010年10月31日09:25
      8

      为啥我感觉你会很邪恶的样子….

      回复
      • 小邪
        2010年10月31日10:58
        9

        嘿嘿嘿,必须的,。 /haixiu /haixiu /haixiu

        回复
  6. 恋羽
    2010年10月31日07:48
    10

    顺丰似乎没用过

    回复
  7. Bee君
    2010年10月31日11:55
    11

    这太不安全啦

    回复
  8. 猫哥
    2010年11月2日13:56
    12

    这个问题很严重啊。

    回复
  9. cn-595
    2010年11月2日14:42
    13

    用过,没从网上注册,都是线下寄的 /lenghan

    回复
  10. locx
    2010年11月2日15:39
    14

    同楼上,我安全了

    回复
  11. 大猪
    2010年11月2日17:46
    15

    这太难避免了。很多公司根本没有这个社会责任

    回复
    • 灵曦
      2010年11月4日13:34
      16

      泄露了用户隐私还是很麻烦的呢。。

      回复
  12. 博客之家
    2010年11月11日11:48
    17

    你的博客背景真牛

    回复
  13. 柳亚
    2010年11月17日06:24
    18

    不怎么了解。。。

    回复
  14. 秦大少
    2010年11月18日16:47
    19

    许久都没更新了,干嘛去啦?
    学习很忙吗?

    回复
    • 灵曦
      2010年11月18日21:00
      20

      嗯…很忙…昨天不才更新了嘛!

      回复
  15. andy
    2010年11月30日16:53
    21

    这博客真花俏,哥不会打开第二次。 /huaix

    回复
    • 灵曦
      2010年12月4日21:36
      22

      无所谓哦,呵呵

      回复
  16. E网通
    2011年2月19日11:39
    23

    现在还可以采集吗?

    回复
  17. 王小楚
    2011年4月18日00:52
    24

    = =难道不想吐槽吗

    回复
  18. 七彩之家
    2012年9月16日21:26
    25

    有这事,,晕

    回复

灵曦:请留下点什么嗯~