记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中国建设银行某处越权可泄露用户详细信息

2015-09-12 16:15

问题站点:http://buy.ccb.com/













虽然在添加和删除用户详细信息的地方没有越权,做的很好,但是在设置一键购买那里就出了问题









QQ图片20150724113023.png









之后我们点击添加的时候抓包







可以看到,原本id是这个

QQ图片20150724113110.jpg









之后我们随意修改id最后一位



QQ图片20150724113128.jpg









看看结果



QQ图片20150724113146.png









看到了吗,信息泄露了!!!

漏洞证明:

QQ图片20150724113146.png



修复方案:

控制权限,权限限制等。。。。。

知识来源: www.wooyun.org/bugs/wooyun-2015-0128905

阅读:99712 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“中国建设银行某处越权可泄露用户详细信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云