当当网被曝设计存漏洞 用户个人信息或泄露

管理员

站长之家（chinaz.com）11月10日消息，在“光棍节”前夕，当当网被爆出设计存在缺陷，或导致所有用户的姓名，联系方式，地址等泄露。

今日，乌云漏洞报告平台发现当当网因某处设计不当，代码存在逻辑错误，可导致所有用户的姓名，联系方式，地址等泄露。据悉，只需要登陆当当网，并访问漏洞地址http://account.dangdang.com/payh ... d=1&op=bindselected，通过fuzz上面URL中得 addr_id= 就可以得到全部的收件地址。

当当网漏洞证明

用户信息泄露证明

由于乌云漏洞报告平台同时在博客上提供了该漏洞的修复方案。截止到13:00左右，当当网已经修复此漏洞，不过并未对外做出正面回应。

8 ]% _3 }# j" Z! p/ U6 z1 T2 j