遨游网缺陷越权遍历可查他人订单信息身份信息

问题发生在IOS系统遨游旅行手机APP上

遨游网缺陷越权遍历可查他人订单信息身份信息插图

遨游网缺陷越权遍历可查他人订单信息身份信息插图1

把id改我的试试

遨游网缺陷越权遍历可查他人订单信息身份信息插图3

同理可以越权查遍历其他人常旅客信息吧我的id -1试试

遨游网缺陷越权遍历可查他人订单信息身份信息插图4

同样可以删除其他的人常旅客信息，至于订单信息的取消未做验证你们自己验证去、、、、

机票旅游行业代理人有必要和义务保证客户的信息，最近听多了短信诈骗，不法分子利用客户信息四处诈骗，比如航班延误啊，改签啊要收手续费等等，你们懂的。。。

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《遨游网缺陷越权遍历可查他人订单信息身份信息》