第一个漏洞告知官方后,官方修改了认证机制,改进了安全认证机制,随意登录账号的漏洞修复了,并且在确认收款关节增加了手机验证码认证,这样从总体流程上来说基本防御了第一个漏洞的思路。
经过维护修复后,官方再次开放了公测,7月1日左右,大葱哥闲来无事又对贝市场进行了研究,不经意间又发现了一系列越权漏洞。
随意查看任意订单详情信息,其中包含订单交易双方的姓名、银行卡,交易金额等等。
随意取消任意订单,可以恶搞订单,随意取消任意订单。
大部分页面都没有做权限检验,都存在越权漏洞。
这会泄露用户隐私信息,可以恶意修改订单。
网友评论