漏洞标题 小爱弱密码可以编辑/查看用户和SQL注入 相关制造商 小爱 漏洞作者 Noxxx 提交时间 2016-04-25 20: 07 公共时间 2016-06-10 09: 40 漏洞类型 后台的密码很弱 危险等级 高 自我评估等级 10 漏洞状态 制造商已确认 标签标签 漏洞详细信息 首先看看Whois的小爱,
有一个.net域名,然后运行一个子域来查找很多后台应用程序。 Authqas.xiaoenai.net Monitor1314.xiaoenai.net Admin.xiaoenai.net Ci.xiaoenai.net Games.xiaoenai.net Smtp.xiaoenai.net Package.xiaoenai.net Op.xiaoenai.net Admin.xiaoenai.net Apollo.xiaoenai.net Conf.xiaoenai.net Wall.xiaoenai.net Sell.xiaoenai.net Streetadm.xiaoenai.net Gitlab.xiaoenai.net 他们中的许多人没有验证码和登录次数,因此您可以强制使用密码。 我跑了一下,找到了一个弱密码。 王斌123456 方鼎123456
CEO的帐户可以编辑和查看邮箱和手机,这样您就可以将自己喜爱的任何人更改为自己的. 反馈和社区:
您可以添加修改的项目和主题以查看所有订单(大约数十万个订单),并且存在SQL注入问题。
基本上单击页面时会出现注入问题。
https://sell.xiaoenai.net/order/list/search_all?name=A&phone=&id=&product_id= (xiao 123456) https://streetadm.xiaoenai.net/productions/list/search_all?id=10&seller_id=&title=&seller_name=&scene= 这两个相似之处是相似的。任何一个参数都存在注入。 漏洞证明: 查看详细说明 修理计划: 添加验证码或以更安全的方式登录。某些背景不应暴露给外部网络。 版权声明:请注明出处Noxxx @乌云