记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

成人用品App他趣 XSS盲打管理员/已进后台(涉及1000万用户数据)

2015-08-09 13:45

手机端插入

xss-2-1.PNG





然后获取到了管理员的cookie

xss-2-2.png





拿到cookie后进后台。官方为了炒话题,竟然还建立了很多马甲

xss-2-3.png





xss-2-4.png



xss-2-5.png



xss-2-6.png



所有用户信息都能看到,粗略扫了一眼有1000多万用户,信息量还是挺大的





漏洞证明:

如上

修复方案:

1、过滤

2、后台不要暴露到公网

知识来源: www.wooyun.org/bugs/wooyun-2015-0122442

阅读:127359 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“成人用品App他趣 XSS盲打管理员/已进后台(涉及1000万用户数据)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云