记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

墨迹天气APP非爆破任意用户登录(可看到其他用户隐私)

2014-09-09 11:30

第一步:下载墨迹天气APP安装(废话)

第二步:用自己注册的小号登录

第三步:打开手机用小号登录

第四步:用SQLlite编辑器(赋予root权限),打开墨迹天气的表UserInfo,修改SnsID

mj1.png



mj2.png



第五步:重新打开墨迹天气,你就会发现,虽然昵称还是你的小号,但是其它都变了

粉丝,关注,邮箱,手机号,短消息,照片......

漏洞证明:

找了个各个信息都有的id...作为证明...

mj3.png



mj4.png

修复方案:

认证接口处检查阿....


知识来源: www.wooyun.org/bugs/wooyun-2014-074939

阅读:120403 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“墨迹天气APP非爆破任意用户登录(可看到其他用户隐私)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云