记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

搜房网某系统权限控制不严可操作同系统下其他用户数据

2013-05-21 13:45

没有平行权限控制。

搜房帮ERP-房产业务管理系统各模块均未有平行权限控制,可操作其他用户各模块功能、盗取用户帐号

http://erp.soufun.com/Publicity/index.html

举几个可利用的:

1、查看其他用户信息


2、查看其他公司内部资讯、内部资讯未过滤可跨站


根据上面越权查看其他用户信息后,发邮件钓鱼很容易。


3.修改其他用户发布的房源信息,


"敏感备注"可跨站,越权修改其他用户的房源信息,用户下次进入修改时跨站。



 


4、多处存在注入的,但有做过滤防护,

举例:

http://erps.soufun.com/News/NewsDetail.aspx?newsid=4

http://erps.soufun.com/User/UserPurviewList.aspx?deptid=********&deptlevel=1&txtInnerUserID=18
 

修复方案:

验证用户

知识来源: www.2cto.com/Article/201305/213212.html

阅读:83932 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“搜房网某系统权限控制不严可操作同系统下其他用户数据”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云