據(jù)官方反饋,阿里巴巴安全團(tuán)隊(duì)已在第一時(shí)間修復(fù)該漏洞。
據(jù)國外媒體報(bào)道,阿里巴巴全球速賣通的網(wǎng)站上曝出安全漏洞,可能影響全球的數(shù)百萬用戶。攻擊者可以在不知道用戶賬戶密碼的情況下,利用該漏洞竊取到全球數(shù)百萬用戶的個(gè)人信息。
阿里巴巴全球速賣通是中國電子商務(wù)巨頭阿里巴巴旗下的一個(gè)終端批發(fā)零售商,它為全球超過200個(gè)國家和地區(qū)的3億用戶提供價(jià)廉物美的商品。該漏洞是由以色列應(yīng)用程序安全研究員Amitay Dan發(fā)現(xiàn)的,在我們看到這一消息時(shí)他已經(jīng)把該漏洞的信息提交給了阿里巴巴全球速賣通團(tuán)隊(duì)。
任意用戶信息獲取
根據(jù)安全研究員提供的概念驗(yàn)證視頻和截屏中顯示,阿里巴巴全球速賣通允許注冊(cè)的用戶使用下面的URL修改他們的收貨地址和聯(lián)系方式:
http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456其中的123456是注冊(cè)用戶的ID。
如下圖,只需簡(jiǎn)單更改mailingAddressId的參數(shù)值,該注冊(cè)id對(duì)應(yīng)的用戶收貨地址、聯(lián)系方式等信息就會(huì)顯示出來。
攻擊者可使用自動(dòng)化的腳本抓取mailingAddress.htm頁面上1到99999999999中所有可能的數(shù)字,并設(shè)為“收貨地址”的參數(shù)值,即可輕松的搜集到上百萬個(gè)阿里巴巴全球速賣通用戶的個(gè)人信息。
該漏洞已經(jīng)報(bào)告給了阿里巴巴全球速賣通團(tuán)隊(duì)了,這個(gè)漏洞可能在接下來的幾個(gè)小時(shí)內(nèi)就會(huì)被修復(fù)。