记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

土豆网平行越权漏洞(影响其他账号私密信息)

2014-10-20 17:25

1.土豆个人空间日志,写一篇私密日记,点击发布

1.jpg



2.发布之后,点击编辑

2-0.jpg



3.查看发送请求,然后找到日志的id参数,复制

2.jpg



4.利用另一个帐号,编辑日志

3.jpg



5.截取请求,将日志的id替换为私有日志id

5.jpg



6.查看到第一个帐号的私有日志,窥探别人隐私不是问题

5.jpg



7.遍历id,都有日志(包含私有和公开的)都可以看到了

漏洞证明:

见上图

修复方案:

加强权限控制

知识来源: www.wooyun.org/bugs/wooyun-2014-075169

阅读:101324 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“土豆网平行越权漏洞(影响其他账号私密信息)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云