顺丰公司官网暴泄漏用户隐私漏洞

2010年10月24日 分类: 网来往事

顺丰快递作为国内服务相当不错的快递企业一直被我所青睐和使用,由于网站支持网上下单,方便了用户操作,但是同时也带来了巨大的用户隐私安全隐患。

 

利用采集器批量采集用户数据:

不难看出,此漏洞可被轻易利用,造成大量用户信息泄露。在此谨希望顺丰公司尽快修复漏洞。

版权声明

本文著作权属于萝莉天下(http://lolis.info/

任何转载必须注明出处,萝莉天下保留一切权利。

—-事态进展—-

2010年10月28日  漏洞尚未修复

2010年11月21日 漏洞依旧没有修复。将近一月过去仍然没有任何操作的顺丰让我很失望,我决定放弃对事件的追踪。

2011年3月9日  

鉴于该漏洞有可能会被利用以及有可能以及被利用,参考这里。我决定删除该漏洞详细利用过程(虽然本文有很高的访问量),直至顺丰采取修复后再放出。同时,对受到本漏洞影响的各大店主及顺丰用户道歉。另外,我贴出本文发布之时和顺丰经理M2的对话记录,马赛克部分为漏洞详细利用过程,对阅读的不便我表示深深的歉意!

以上便是全部对话,本人如约7日后公开,顺丰知悉后7日调整期没有操作,本人将不负任何责任。

另外,如果您质疑该漏洞的真实性,请点击这里下载我进行过部分屏蔽用户信息,便知道真假了。

标签: ,
发表评论 | Trackback

26 条评论 于 “顺丰公司官网暴泄漏用户隐私漏洞”

  1. 东奇博客传播
    2010年10月29日22:10
    1
    360Safe Explorer 360Safe Explorer Windows XP Windows XP
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.1; IEShow Toolbar; IEShow zhaiToolBar; 360SE)

    是不是被黑了.

    回复
  2. forever
    2010年10月30日03:30
    2
    Internet Explorer 9.0 Internet Explorer 9.0 Windows 7 Windows 7
    Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

    如此邪恶?

    回复
  3. 秦大少
    2010年10月30日09:14
    3
    Sogou Explorer Sogou Explorer Windows 7 Windows 7
    Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0

    没事,我没去顺丰注册过。 /cute

    回复
    • locx
      2010年10月30日16:49
      4
      TheWorld Browser TheWorld Browser Windows 7 Windows 7
      Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3 TheWorld Chrome

      不是有没有注册过的问题,而是只要你发或收过顺丰,你就会被采集!

      回复
      • 灵曦
        2010年10月30日20:05
        5
        Internet Explorer 8.0 (Compatibility Mode) Internet Explorer 8.0 (Compatibility Mode) Windows XP Windows XP
        Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)

        这个倒不是,采集的是网上寄件的列表的

        回复
  4. locx
    2010年10月30日18:50
    6
    TheWorld Browser TheWorld Browser Windows 7 Windows 7
    Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3 TheWorld Chrome

    类似的采集情况还有很多,可是查询是靠单号来进行的,就算不批量采集,一个一个查询又怎能逃得掉?只要有了注册用户的权限,顺风的数据库就向你敞开了.除了增加查询权限机制,在纸质的运单上添加查询码也是个办法.顺风的质量是很不错的,没想到在这个方面上如此不注重.

    回复
  5. 小邪
    2010年10月31日07:25
    7
    Google Chrome 8.0.561.0 Google Chrome 8.0.561.0 Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.11 (KHTML, like Gecko) Chrome/8.0.561.0 Safari/534.11

    账号等待审核中 /huaix /huaix /huaix

    回复
    • 灵曦
      2010年10月31日09:25
      8
      Maxthon 2.0 Maxthon 2.0 Windows 7 Windows 7
      Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Maxthon 2.0)

      为啥我感觉你会很邪恶的样子….

      回复
      • 小邪
        2010年10月31日10:58
        9
        Google Chrome 8.0.561.0 Google Chrome 8.0.561.0 Windows XP Windows XP
        Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.11 (KHTML, like Gecko) Chrome/8.0.561.0 Safari/534.11

        嘿嘿嘿,必须的,。 /haixiu /haixiu /haixiu

        回复
  6. 恋羽
    2010年10月31日07:48
    10
    UC Browser 7.4.0.57 UC Browser 7.4.0.57 Nokia Nokia
    Nokia 5320/UCWEB7.4.0.57/28/999

    顺丰似乎没用过

    回复
  7. Bee君
    2010年10月31日11:55
    11
    Google Chrome 7.0.517.41 Google Chrome 7.0.517.41 Windows 7 Windows 7
    Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.7 (KHTML, like Gecko) Chrome/7.0.517.41 Safari/534.7

    这太不安全啦

    回复
  8. 猫哥
    2010年11月2日13:56
    12
    Firefox 3.6.10 Firefox 3.6.10 Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10

    这个问题很严重啊。

    回复
  9. cn-595
    2010年11月2日14:42
    13
    Internet Explorer 8.0 (Compatibility Mode) Internet Explorer 8.0 (Compatibility Mode) LG LG
    Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; aff-kingsoft-ciba; staticlogin:product=cbpro09&act=login&info=ZmlsZW5hbWU9Y2liYXNldHVwLmV4ZSZtYWM9RTQzOTlGQjAxODc4NDA4NTlEN0Uw

    用过,没从网上注册,都是线下寄的 /lenghan

    回复
  10. locx
    2010年11月2日15:39
    14
    Sogou Explorer Sogou Explorer Windows 7 Windows 7
    Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0

    同楼上,我安全了

    回复
  11. 大猪
    2010年11月2日17:46
    15
    TheWorld Browser TheWorld Browser Windows XP Windows XP
    Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; TheWorld)

    这太难避免了。很多公司根本没有这个社会责任

    回复
    • 灵曦
      2010年11月4日13:34
      16
      Maxthon 2.0 Maxthon 2.0 Windows 7 Windows 7
      Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Maxthon 2.0)

      泄露了用户隐私还是很麻烦的呢。。

      回复
  12. 博客之家
    2010年11月11日11:48
    17
    Internet Explorer 8.0 (Compatibility Mode) Internet Explorer 8.0 (Compatibility Mode) Windows XP Windows XP
    Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.3)

    你的博客背景真牛

    回复
  13. 柳亚
    2010年11月17日06:24
    18
    Internet Explorer 6.0 Internet Explorer 6.0 Windows XP Windows XP
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; WoShiHoney.B; .NET CLR 2.0.50727)

    不怎么了解。。。

    回复
  14. 秦大少
    2010年11月18日16:47
    19
    Sogou Explorer Sogou Explorer Windows 7 Windows 7
    Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0

    许久都没更新了,干嘛去啦?
    学习很忙吗?

    回复
    • 灵曦
      2010年11月18日21:00
      20
      Maxthon 2.0 Maxthon 2.0 Windows 7 Windows 7
      Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; QQDownload 667; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Maxthon 2.0)

      嗯…很忙…昨天不才更新了嘛!

      回复
  15. andy
    2010年11月30日16:53
    21
    Firefox 3.6.12 Firefox 3.6.12 Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12

    这博客真花俏,哥不会打开第二次。 /huaix

    回复
    • 灵曦
      2010年12月4日21:36
      22
      Maxthon 2.0 Maxthon 2.0 Windows 7 Windows 7
      Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; QQDownload 667; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; Maxthon 2.0)

      无所谓哦,呵呵

      回复
  16. E网通
    2011年2月19日11:39
    23
    Internet Explorer 8.0 Internet Explorer 8.0 Windows XP Windows XP
    Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)

    现在还可以采集吗?

    回复
  17. 王小楚
    2011年4月18日00:52
    24
    Google Chrome 9.0.597.107 Google Chrome 9.0.597.107 Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.107 Safari/534.13

    = =难道不想吐槽吗

    回复
  18. 七彩之家
    2012年9月16日21:26
    25
    Internet Explorer 8.0 Internet Explorer 8.0 Windows XP Windows XP
    Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQPinyin 722; Alexa Toolbar; 4399Box.1335; 4399Box.1335)

    有这事,,晕

    回复

灵曦:请留下点什么嗯~

/qy /sy /hx /hp /cj /hz /yang more »