记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

拉手网某后台未授权访问(导致某可替换APP更新地址并强制更新等众多问题)

2014-12-24 06:00

言归正传 出问题的系统为:http://dy.lashou-inc.com/ 影院频道后台

用蜘蛛爬了下 发现大量未授权访问 并可修改大部分数据

导致拉手APP:拉手电影 可劫持更新

信息泄漏包括支付宝的回调 第三方合作方 帐号密码后台地址等



下面就看图不说话

漏洞证明:

1.jpg



2.jpg



3.jpg



4.jpg



5.jpg



6.jpg



7.jpg

修复方案:

权限


知识来源: www.wooyun.org/bugs/wooyun-2014-082584

阅读:74847 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“拉手网某后台未授权访问(导致某可替换APP更新地址并强制更新等众多问题)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云