better最火交友社区越权漏洞涉1.9W用户资料泄露

怪狗 2016-7-31 Exploit 0 0

  首先注册个账号吧 点击手机注册

  better最火交友社区越权漏洞涉1.9W用户资料泄露

  填写我土豪专属手机号来收验证码13012345678

 better最火交友社区越权漏洞涉1.9W用户资料泄露

  当然是点确定啦!然后截包看看服务器返回了什么小秘密

   better最火交友社区越权漏洞涉1.9W用户资料泄露

  这个identifying_code的MD5是啥?去解开看看

  better最火交友社区越权漏洞涉1.9W用户资料泄露

  诶?好像就是验!证!码!果然验证通过了,下面开始调教吧

  先来看看别人的资料里都填了啥 注册之后就有一个好友 应该是官方运维吧 拿他开刀           

      better最火交友社区越权漏洞涉1.9W用户资料泄露

  我看见了贝贝的手机号 这里只需要遍历下所有会员id就可以拿到很多妹子的手机号啦/(^o^)/越权发话题 只需要改一改post里面的member_id 虽然有token但是完全没有验证

      better最火交友社区越权漏洞涉1.9W用户资料泄露

  越权关注 同样改member_id成对方的

     better最火交友社区越权漏洞涉1.9W用户资料泄露

  还有各种 比如越权回复、越权删主题、越权这、越权那等等在APP里联系了官方人员 就是上面提过的贝贝 很萌 可调戏 反馈了以上问题

  解决方案:

  token不要只验证login_member_id

原文地址:https://www.77169.com/exploits/2015/20151027094447.shtm

转载请注明来自华盟网,本文标题:《better最火交友社区越权漏洞涉1.9W用户资料泄露》

喜欢 (0) 发布评论