漏洞标题 LeEco延长保修系统可以随意查询授权信息 相关制造商 乐视网 漏洞作者 Iceyes 提交时间 2016-05-04 11: 42 公共时间 2016-06-20 14: 20 漏洞类型 设计缺陷/逻辑错误 危险等级 高 自我评估等级 10 漏洞状态 制造商已确认 标签标签 不合格的认证设计,不合理的设计 漏洞详细信息 延长保修系统http://le.yanbao.org使用序列号/正文编号查询时,系统支持模糊查询,您可以通过随意输入字符串来查询某些用户信息。 对于具有扩展维护记录的用户,他们还可以通过已检查的移动电话两次检查延长保修记录。一些交换的信息包含用户的详细地址信息。 漏洞证明:
修理计划: 1.关闭模糊查询 2.添加验证码和其他措施以限制冲突库 版权声明:请注明来源iceyes @乌云