better最火交友社区越权漏洞涉1.9W用户资料泄露

  首先注册个账号吧 点击手机注册

  better最火交友社区越权漏洞涉1.9W用户资料泄露

  填写我土豪专属手机号来收验证码13012345678

 better最火交友社区越权漏洞涉1.9W用户资料泄露

  当然是点确定啦!然后截包看看服务器返回了什么小秘密

   better最火交友社区越权漏洞涉1.9W用户资料泄露

  这个identifying_code的MD5是啥?去解开看看

  better最火交友社区越权漏洞涉1.9W用户资料泄露

  诶?好像就是验!证!码!果然验证通过了,下面开始调教吧

  先来看看别人的资料里都填了啥 注册之后就有一个好友 应该是官方运维吧 拿他开刀           

      better最火交友社区越权漏洞涉1.9W用户资料泄露

  我看见了贝贝的手机号 这里只需要遍历下所有会员id就可以拿到很多妹子的手机号啦/(^o^)/越权发话题 只需要改一改post里面的member_id 虽然有token但是完全没有验证

      better最火交友社区越权漏洞涉1.9W用户资料泄露

  越权关注 同样改member_id成对方的

     better最火交友社区越权漏洞涉1.9W用户资料泄露

  还有各种 比如越权回复、越权删主题、越权这、越权那等等在APP里联系了官方人员 就是上面提过的贝贝 很萌 可调戏 反馈了以上问题

  解决方案:

  token不要只验证login_member_id

原文地址:https://exploits.77169.com/2015/20151027094447.shtm

本文由 华盟网 作者:怪狗 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。