记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

p2p安全之好利网某处泄露大量用户信息泄露(姓名、电话、金额、区域)

2015-11-08 09:00

1.png



从微博上看到该p2p的广告

code 区域
http://crm.haolyy.com/



一个crm系统客户关系管理

2.png



登陆框加单引号直接返回404

3.png



漏洞证明:

万能密码登陆一发

code 区域
admin' or '1'='1



5.jpg



成功登陆到后台,用户信息一堆

6.jpg



6w用户数据

7.jpg



这里位置估计还能查询全部用户信息

9.jpg

修复方案:

过滤敏感注入语句

知识来源: www.wooyun.org/bugs/wooyun-2015-0143066

阅读:83277 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“p2p安全之好利网某处泄露大量用户信息泄露(姓名、电话、金额、区域)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云