记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

云通讯某处越权访问

2015-02-13 07:00

任意登陆用户可访问其它用户设置的短信模版,未审核的短信模版可以进行修改,已经审核的模版应该可以进行删除操作,怕影响数据所以未做测试.



访问地址

code 区域
http://www.yuntongxun.com/member/smsTemplate/detail?id=5491&randStr=0.29231546563096344





其中id字段为模版的id,可以进行遍历.



如果删除操作可执行的话,将会影响所有用户的短信模版,这个你们应该更清楚~

漏洞证明:

简单的上几个图片说明一下吧

11.jpg



12.png



13.jpg

修复方案:

加强权限验证

知识来源: www.wooyun.org/bugs/wooyun-2015-089203

阅读:92035 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“云通讯某处越权访问”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词