记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

深圳航空可越权查看电粉信息(姓名、身份证、联系电话等敏感信息)

2015-04-12 02:50

深圳航空可越权查看电粉信息(姓名、身份证、联系电话等敏感信息)

使用深圳航空客户端查看电粉信息时存在权限提升漏洞,可以查看其它用户信息。


(1)点击电粉信息时,请求数据信息。关键数据信息:USER_ID
 

电粉信息请求.png



(2)服务器会返回电粉信息。包括姓名,身份证号码,性别,联系电话等敏感信息。
 

服务器返回信息.png



(3)仅仅通过修改USER_ID后进行重放,返回其它用户信息。
 

修改UID返回信息.png

 


知识来源: www.2cto.com/Article/201504/389034.html

阅读:144420 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“深圳航空可越权查看电粉信息(姓名、身份证、联系电话等敏感信息)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云