记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

微影时代管理后台设计逻辑缺陷(财务/订单/红包等信息泄露)

2016-01-13 18:10

火星救援最近好火,我也要上火星种土豆,我要种土豆......... 于是在你们网站买电影票的时候,看了下你们主站没发现什么漏洞,然后google一下 你们公司发现了好几个后台管理地址然后找到这个后台

http://om.wxmovie.com/

顺便试了下 没发现有做登录限制,于是乎 爆破一组准备,123,123 爆破完毕 发现几个密码为123456

的账号,随便登录几个看看 ,哟权限还不小,还可以赋权限...

以下密码均为123456



外加一个phpinfo 泄露



http://ad.wxmovie.com/test1.php

漏洞证明:

9DD638F9-679A-4550-A8B0-22A256EA5643.png



157EB421-BE92-4892-BC6A-B25FE1D27302.png



FC750F36-33C6-4B46-88B2-24D479AE62BB.png

修复方案:

加错误登录次数限制

知识来源: www.wooyun.org/bugs/wooyun-2016-0156691

阅读:63947 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“微影时代管理后台设计逻辑缺陷(财务/订单/红包等信息泄露)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云