当当网被曝安全漏洞 或致用户资料泄露

 

　　

 

　　当当网漏洞或致用户资料泄露

　　

 

　　乌云漏洞报告平台微博截图

　　新浪科技讯 11月10日下午消息，据乌云漏洞报告平台曝光，当当网存在设计缺陷或逻辑错误，大量用户资料或因此泄露。当当网对此表示，正在与技术部门进行沟通。

　　第三方安全问题反馈平台乌云平台今日在新浪微博发布消息称，当当网存在设计缺陷，登陆后可通过fuzz此url：http://account.dangdang.com/payhistory/myaddress.aspx?addr_id=10000&cid=1&op=bindselected得到addr_id=，从而获得所有用户的姓名、联系方式、地址等信息。

　　报告者称“某处设计不当，不能过于详细，太容易发现了”，并给出审计SQL语句等修复建议。据乌云平台微博透露，所发布的安全漏洞将以认领及邮件方式通知厂商，目前其页面漏洞回应一项显示“未能联系到厂商或者厂商积极拒绝”。

　　

 

　　金山网络反病毒工程师李铁军转发微博截图

　　金山网络反病毒工程师李铁军转发了此条微博，称“有漏洞及时处理，天不会塌下来，不重视安全漏洞，不及时修补才是致命的”。

　　当当网在与新浪科技的连线中表示，网站不会泄露用户资料，同时正在与技术部门沟通此事。(雅楠)