现在的位置: 首页 > 互联网络 > 正文

魅族官网漏洞,可被搜索引擎抓取预定订单信息!

2014年11月01日 互联网络 ⁄ 共 428字 ⁄ 字号 暂无评论 ⁄ 已被浏览了 5,438次

昨天想整理下购买心得,无意间发现魅族官网预定页面有漏洞,可以被百度等搜索引擎抓取,包括姓名、手机号码、订单号、预定商品及收货地址都一览无遗。

魅族漏洞-搜狗快照

搜狗就看到一个,不过看快照竟然是10月30日的,360搜索、Google等暂没发现。是不是可以说明百度更强大呢?

魅族漏洞-百度快照

魅族订单漏洞-百度快照

查询发现这个漏洞早在9月5日被发现了,魅族官方已经确认并在9月20日公开。

魅族MX4订单信息泄露漏洞

如果直接在百度里搜索:“订单已生成,选择付款方式 - 魅族MX4预订”,发现不止这些!

订单已生成,选择付款方式 - 魅族MX4预订-百度搜索结果

如果直接输入网址搜索:“http://mx4.booking.meizu.com”,也是能查到一些。

魅族订单信息泄露

11月3日我再次输入网址搜索:“site:mx4.booking.meizu.com”,不看不知道,一看吓一跳。

百度搜索结果页暴露魅族订单信息

该说百度好强大还是好流氓呢?如果没被搜索引擎抓取还好些,不禁质疑魅族手机flyme系统的可靠性和安全性。

尝试访问:http://mx4.booking.meizu.com/robots.txt(Not Found)

天下无难事,只怕有心人!

给我留言

留言无头像?