代码审计-极致cms越权查看订单漏洞
首先注册两个账号,账号A和账号B
然后用账号B购买一些商品,产生交易记录和订单号码
账号A : admin@qq.com 密码test
账号B : admin2@qq.com 密码test
账号A提交订单信息后 账号b可见
/Home/c/UserController.php:
查询数据的时候,并没有查询某个特定用户,而是把所有人的购买记录都查询出来了
首先注册两个账号,账号A和账号B
然后用账号B购买一些商品,产生交易记录和订单号码
账号A : admin@qq.com 密码test
账号B : admin2@qq.com 密码test
账号A提交订单信息后 账号b可见
/Home/c/UserController.php:
查询数据的时候,并没有查询某个特定用户,而是把所有人的购买记录都查询出来了
浙公网安备 33010602011771号