记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

ShopEx某站多处越权(查看修改企业信息)

2015-05-28 15:45

问题站点:http://my.shopex.cn/





在其中的企业信息那里企业信息和联系人都有越权的问题,导致任意修改用户信息查看用户一些信息



QQ图片20150413110531.png





这是用户1在修改的时候进行的抓包,之后我们换成用户2





QQ图片20150413111145.jpg





抓包发现id明显不同,于是我们更改id为用户1的

QQ图片20150413111216.jpg





修改完成之后我们回到用户1看看

QQ图片20150413111319.png





明显不同了



在联系人处只要更改id就能越权查看用户信息

QQ图片20150413111904.png

漏洞证明:

QQ图片20150413111904.png

修复方案:

控制权限

知识来源: www.wooyun.org/bugs/wooyun-2015-0107582

阅读:74978 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“ShopEx某站多处越权(查看修改企业信息)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云