记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

中国电信某微信营销系统存在越权可查看大量用户中奖信息和奖品代码等(可添加和管理活动)

2015-12-21 18:35

越..................权

详细说明:

**.**.**.**/admin/index.jsp
可添加活动

1.jpg

查看4000多个中奖用户信息包括奖励

**.**.**.**/admin/index.jsp#info

2.jpg

奖品是base64加密的

找几个看下

比如这个

7天50M提速体验卡

NjgyNTU4OmR3cCwxOTAwMjM0NDAyOTA2MDUxOmNjYQ==

解密后是682558:dwp,1900234402906051:cca

还可添加管理投票等

3.jpg

漏洞证明:

查看4000多个中奖用户信息包括奖励

**.**.**.**/admin/index.jsp#info

2.jpg

修复方案:

限制权限.


知识来源: www.2cto.com/Article/201512/454568.html

阅读:109303 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“中国电信某微信营销系统存在越权可查看大量用户中奖信息和奖品代码等(可添加和管理活动)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云

本页关键词