首页 > 未分类 > 淘宝匿名评价真实资料暴露漏洞
2013
05-14

淘宝匿名评价真实资料暴露漏洞

网站MVC模式下,会暴露很多因设计不严造成敏感信息泄露的问题。以淘宝为例,某些产品下会有匿名评价以保护买家隐私。淘宝在ajax请求评价时,暴露了匿名用户的uid,使得匿名形同虚设。
为了方便测试,找了个成人情趣用品,下面大部分为匿名评价。用firebug探针,探查某个用户名,在其上有“data-uid”属性,即为该匿名用户的uid
getuid

获知该用户uid为130486605,然后访问 http://i.taobao.com/130486605(用户uid),得到用户真实信息。
space

最后编辑:
作者:NINE
这个作者貌似有点懒,什么都没有留下。

淘宝匿名评价真实资料暴露漏洞》有 4 条评论

  1. ninja911 说:

    好东西,谢谢分享了。以后可能有用

  2. YF 说:

    你好,我怎么获取不到匿名用户的ID呢?请教

  3. zophim 说:

    还有没有这样的漏洞呢先生!

留下一个回复

你的email不会被公开。