记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

犀牛故事App后台存在POST注射漏洞

2014-09-09 03:50

Url:http://api.xiniugushi.com:80/function/account.php



App获取其他用户信息时post自身id和其他用户id,均存在注射漏洞

漏洞证明:

Post:action=getaccount&id=13235&token=02kRCsWEP1IYQ0wkbgk9L8AblRSx064bHZs8sYTucbg=&uid=6864

数据库表:

QQ20140725-2.png





看了一下账户表行数,1W+用户,另外还记录了手机号 经纬度等个人信息。

QQ20140725-3.png



修复方案:

对post数据进行过滤验证


知识来源: www.wooyun.org/bugs/wooyun-2014-069706

阅读:92234 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“犀牛故事App后台存在POST注射漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云

本页关键词