漏洞出现的很奇葩 提交用户信息的时候如:user_id 会直接返回用户username 和password登录的ip等。。。
不多说了 无图无真相!
首先是我的登录过程,进行抓包 登录账户和密码 密码为nimabi
登陆后的状态进入我的财富,查看网络抓包 发现下面一条信息 提交一个user_id后进入返回了用户的所有信息,所有信息 所有信息重要的事情说三遍!
密码竟然是MD5的自己加密
修改user_id 看是否能够查看别人的信息,我嘞个去 竟然真的返回了回来
真的返回来了,真的返回来了,真的返回来了.....
我和我的小伙伴都惊呆了
md5直接解密就可以登录了。。。
成功登录
你们比我更清楚如何修复