Hallo,
die Mails arbeiten mit recht simpel aufgebauten Links, um eine Bestellung einzusehen, etwa:
(...)/user/order?order_id=12
Klickt der User auf diesen Link, bekommt er SEINE Bestellung angezeigt, ändert er im Browser die order_id entsprechend, hat er Zugriff auf fremde Bestellungen und kann die Daten einsehen.
Wie kann man das abstellen? Der Aufbau des Links ist sehr simpel, und das Risiko besteht unabhängig vom Status des Bestellers (registrierter Kunde oder nicht).
Danke!
Andreas
Joomla: 3.3.6
JoomShopping: 4.8.1
JoomShopping: 4.8.1