听说大朴网不错，东西用起来很舒服，而且大朴网来黑吧漏洞公告中心了，发现了个小问题，越权之修改任意用户订单
如果我把订单的收货人改成Finger或者疯狗或者xsser再或者肉肉，那你们岂不是赚到了？

说在前面：上个漏洞(http://www.2cto.com/Article/201409/333246.html)忘记说了，下面的账号都是用来测试的，没有取消和修改他人的正常订单，测试过程没有影响任何用户

0x00：大朴网的订单号是这样的：20140725XXXXXX当前时间加后面6个数字，如果坏孩子想得到大朴网一天内的所有订单，只要修改后面的6位数字就可以了，这样就可以遍历所有订单了，工具跑的话，也就一个小时左右就能搞定了。

0x01:进入正题。进入自己的账号，下个订单，然后单击“修改”还是看图吧，更直观，下图是订单修改前样子

然后开始修改自己的订单内容（包括收货人，电话，地址等）



然后点击确定抓包，修改，把图中order_id改为其他人的订单号，然后就成功修改了他人的订单

0x02:见证奇迹的时刻到了，可以看到，别人的订单内容被成功修改了

漏洞修复方案:


服务端验证