记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

广东考试服务网漏洞(支付漏洞/订单遍历/任意用户密码重置/SQL注入/存储xss)

2016-05-25 22:20

http://**.**.**.**/

#支付漏洞

code 区域
将数量改为负数

g1.png



g3.png



#订单遍历

修改id即可

code 区域

g4.png



g5.png



g6.png



漏洞证明:

#密码重置

g14.png



重置这个邮箱的用户

code 区域
输入需要重置的邮箱,点击找回密码,抓包

g9.png



会发送重置密码链接到自己邮箱里

g10.png



g7.png



输入密码,点击确定,抓包

g8.png



g11.png



g12.png



g13.png





#SQL注入

http://**.**.**.**/bookshop/productAction_searchByType.action?typeId=2

g15.png





#存储XSS

收货人地址处

g2.png

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2016-0193779

阅读:86022 | 评论:0 | 标签:xss 注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“广东考试服务网漏洞(支付漏洞/订单遍历/任意用户密码重置/SQL注入/存储xss)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云