微盟某处缺陷可导致泄漏大量会员信息(可脱裤

时间: 2020-10-11|tag: 38次围观|0 条评论

微信营销,挺火的,也注意用户隐私安全哦~~~

微信会员管理这个模块,有个导出会员的功能,看一下

 

微盟某处缺陷可导致泄漏大量会员信息(可脱裤插图

点完以后请求的URL为

http://www.weimob.com/MemManage/MemberExport/aid/330896/keyword-input//type//integral-grade

我测试了一下,只访问http://www.weimob.com/MemManage/MemberExport/aid/330896

就可以下载用户的列表。

只不过我测试的号没有用户,下载下来是空的。

--------------------------------------------------

aid后面的就是微盟平台的用户id,看这个url目测没验证身份。

直接用burpsuite跑了一下id从0到100的微盟用户

看一下返回的数据信息。
 

微盟某处缺陷可导致泄漏大量会员信息(可脱裤插图1

文件大小不一样,下载几个回来看看。

ID为77的
 

微盟某处缺陷可导致泄漏大量会员信息(可脱裤插图2

ID为49的

 

微盟某处缺陷可导致泄漏大量会员信息(可脱裤插图3

id为22的

 

微盟某处缺陷可导致泄漏大量会员信息(可脱裤插图4

-----------------

还有一堆。。。

只测试了几个id

现在我的id是330896,几十万的微盟用户,微信用户目测也不会少。

传说中的新型脱裤么。。

抓紧修复吧。用户量略大~

 

修复方案:

权限验证
    上一篇: 小漏洞大危害之弱口令导致悠哉旅游网全面沦陷

    下一篇: 优酷邮箱服务器允许源地址欺骗漏洞 - 网站安全
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《微盟某处缺陷可导致泄漏大量会员信息(可脱裤
   

还没有人抢沙发呢~