【SRC实战】搜索功能泄露订单号+用户定位
二手购物平台业务分析:
1、卖家大部分都为个人用户,不存在客服/售前等中间人,可直接攻击到用户本身
2、存在一键转卖功能,B平台发布二手商品可以选择自行发布,也可以选择从A平台一键转卖
3、存在当前用户距离也就是定位,以及上线时间
01
—
漏洞证明
1、搜索任意关键词
2、发现orderCode订单号,orderTime订单时间,此处订单号是二手商品转卖前的原订单号
3、泄露用户定位经纬度,精确到六位数
4、以北京天通苑为例,精确到六位数可具体到xx小区xx楼xx号
5、查询用户定位到xx街道xx号
02
—
漏洞危害
1、根据订单号可在sg库查询用户具体信息
2、根据定位经纬度可查询用户具体家庭住址