阿里巴巴速卖通曝安全漏洞，可能泄露百万用户个人信息

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

12月9日 21:00更新：
据官方反馈，阿里巴巴安全团队已在第一时间修复该漏洞。

据国外媒体报道，阿里巴巴全球速卖通的网站上曝出安全漏洞，可能影响全球的数百万用户。攻击者可以在不知道用户账户密码的情况下，利用该漏洞窃取到全球数百万用户的个人信息。

阿里巴巴全球速卖通是中国电子商务巨头阿里巴巴旗下的一个终端批发零售商，它为全球超过200个国家和地区的3亿用户提供价廉物美的商品。该漏洞是由以色列应用程序安全研究员Amitay Dan发现的，在我们看到这一消息时他已经把该漏洞的信息提交给了阿里巴巴全球速卖通团队。

任意用户信息获取

视频地址：https://www.youtube.com/watch?v=yrXTwjxdARk

根据安全研究员提供的概念验证视频和截屏中显示，阿里巴巴全球速卖通允许注册的用户使用下面的URL修改他们的收货地址和联系方式：

http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

其中的123456是注册用户的ID。

如下图，只需简单更改mailingAddressId的参数值，该注册id对应的用户收货地址、联系方式等信息就会显示出来。

攻击者可使用自动化的脚本抓取mailingAddress.htm页面上1到99999999999中所有可能的数字，并设为“收货地址”的参数值，即可轻松的搜集到上百万个阿里巴巴全球速卖通用户的个人信息。

该漏洞已经报告给了阿里巴巴全球速卖通团队了，这个漏洞可能在接下来的几个小时内就会被修复。

来源：Freebuf

本文版权归原作者所有，如有侵权请联系我们及时删除