AA拼车漏洞3#(AA拼车设计不当可批量修改全站用

时间: 2020-10-11|tag: 6次围观|0 条评论

我们修改自己的密码抓下包 发现如下接口

 

AA拼车漏洞3#(AA拼车设计不当可批量修改全站用插图

后面的serviceKey是个摆设 对任意用户都生效

去官网找个活跃用户 替换掉号码测试
 

AA拼车漏洞3#(AA拼车设计不当可批量修改全站用插图1

返回值比对
 

AA拼车漏洞3#(AA拼车设计不当可批量修改全站用插图2

 

AA拼车漏洞3#(AA拼车设计不当可批量修改全站用插图3

登陆测试 成功了

 

AA拼车漏洞3#(AA拼车设计不当可批量修改全站用插图4

 

AA拼车漏洞3#(AA拼车设计不当可批量修改全站用插图5

 

AA拼车漏洞3#(AA拼车设计不当可批量修改全站用插图6

搞个手机号码库 用burp遍历一下 全站用户的信息就到手了!!! 我保证不是你同行!哈哈!
    上一篇: 中国移动研究院某站可重置任意用户密码 - 网站

    下一篇: 蝉知企业门户系统 v2.5 sql 注入至管理员 - 网站安
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《AA拼车漏洞3#(AA拼车设计不当可批量修改全站用
   

还没有人抢沙发呢~