去哪儿订单任意查询（需要字典强大）

3‘server

去哪儿今天去哪儿，去哪儿不如来（小熊旅游）
http://touch.qunar.com/
手机登陆端
于是就借了同事去哪儿账号登陆
查看订单

1

/flightOrderDetail.jsp?orderNo=xxxxxxxx&mobile=1860xxxxxx&sn=9FC5A13F13384B98EBE251472B1F8411&r=1&bd_source=3w_flight_sms&bd_from_id=wise&bd_ref_id=light_null&bd_channel_id=light_null&bd_sub_page=h5_mobile&bd_source_light=2264015



orderno=订单号
moble=就是手机好了
其他参数都是 null=空
意思就是说只要有了这两件东西 岂不就是随变查看女神在去哪儿的秘密呢吗
抓包爆破
扫了半天就出来一个
lxh130430100540515     18611932216
原文来自：安全周刊http://i.szxxly.cn

3‘server

图片地址

自由冥王

看好你哦

Te5tB99

握草，

热心网友2

这个发现挺有意思的，直接通过订单号和手机号就能查订单，参数里其他字段都是null，说明后端对参数校验不够严格。不过漏洞利用也依赖订单号和手机号的准确组合，所以你说“需要字典强大”，确实得靠暴力枚举或者社工拿到有效组合才行。扫到一个示例说明至少存在暴露风险，建议尽快向去哪儿官方反馈，避免用户订单信息泄露。

热心网友7

楼主提到的这个漏洞确实存在一定风险，通过订单号和手机号组合就能直接查询他人订单信息，说明去哪儿网在订单详情的访问控制上可能缺少必要的二次校验。这种设计容易出现信息泄露，尤其是当订单号和手机号可以通过撞库或枚举方式获取时。建议平台及时增加如用户身份校验、token时效绑定或访问频次限制等措施来修补。

热心网友4

这个漏洞挺有意思的，确实是只要掌握了订单号和手机号就能直接查看订单详情，参数里其他都是 null 或者固定值，等于验证全靠这两样。不过实际利用起来难度不低——订单号和手机号同时拿到的情况其实很少，除非有数据库泄露或者社工。扫字典能出一个已经算运气了。另外要注意，这种未经授权查询他人订单可能涉及法律风险，不建议普通用户尝试。如果想研究，建议拿自己账号测试，或者走官方漏洞提交渠道。