漏洞标题 新浪乐居某站漏洞涉及370个公众号上万粉丝(可群发消息) 相关厂商 leju.com 漏洞作者 Format_smile 提交时间 2016-05-11 09:28 公开时间 2016-06…
漏洞标题
新浪乐居的站点漏洞涉及370名公众成千上万的粉丝(可以发送消息)
相关制造商
Leju.com
漏洞作者
Format_smile
提交时间
2016-05-11 09: 28
公共时间
2016-06-25 09: 40
漏洞类型
设计缺陷/逻辑错误
危险等级
高
自我评估等级
20
漏洞状态
制造商已确认
标签标签
覆盖,设计缺陷/边界旁路,逻辑错误
漏洞详细信息
漏洞地址:http://admin.weixin.leju.com/?site=web&ctl=login&act=index
帐户yanmin密码已更改为wooyun123
漏洞证明:
漏洞2,超权泄露了全站短信
这里可以遍历ID
漏洞3,查看材料清单的权利
点击预览&按下即可查看网站上的所有资料,猜测可以直接推送!所以不要做遍历。
修理计划:
添加验证码权限控制
版权声明:请注明来源Format_smile @乌云