记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

爱鲜蜂安卓客户端存在xss可打入后台导致百万订单用户信息(电话、姓名、地址)泄露

2015-07-01 06:20

QQ图片20150516203854.jpg

2.png

3.png



4.png

这个是第2871723个订单用户的信息

然后把2871723改为0000001一直到2871722就可以逐个查看每个订单的信息以及修改

例子:

5.png

6.png

7.png

漏洞证明:

QQ图片20150516203854.jpg

2.png

3.png



4.png

这个是第2871723个订单用户的信息

然后把2871723改为0000001一直到2871722就可以逐个查看每个订单的信息以及修改

例子:

5.png

6.png

7.png

修复方案:

加强过滤!重要后台可设置成内网登录!









有没有礼物送啊!送点吃的也成!


知识来源: www.wooyun.org/bugs/wooyun-2015-0114528

阅读:86700 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“爱鲜蜂安卓客户端存在xss可打入后台导致百万订单用户信息(电话、姓名、地址)泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云