记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

饿了么某处奇葩漏洞泄露管理密码(大量订单信息泄露)

2015-10-11 06:35

问题站点:http://opweb.youcai.ele.me (有菜运营后台)

这里并不是越权访问后台,点击右上角的登录

1.png



只需要输入密码

2.png



本来想抓包进行爆破,但是点了半天,发现拦截不到包。猜测这里先是做了前端验证,可能限制了密码长度或者其他规则,邮件源代码,找到了提示密码错误的js

3.png



code 区域
http://opweb.youcai.ele.me/eleme.min-d00caa4cd6.js



注意这里

4.png



如果输入密码不等于q1w2e3r4t5y6u7i8o9p0 ,则提示错误。我懂了。。。

成功登录,各种订单信息

5.png



优惠券

6.png



其他信息

7.png





漏洞证明:

7.png

修复方案:

修改验证方式

知识来源: www.wooyun.org/bugs/wooyun-2015-0145401

阅读:226489 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“饿了么某处奇葩漏洞泄露管理密码(大量订单信息泄露)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云