漏洞标题 新浪乐居的站点漏洞涉及370名公众成千上万的粉丝(可以发送消息) 相关制造商 Leju.com 漏洞作者 Format_smile 提交时间 2016-05-11 09: 28 公共时间 2016-06-25 09: 40 漏洞类型 设计缺陷/逻辑错误 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 覆盖,设计缺陷/边界旁路,逻辑错误 漏洞详细信息 漏洞地址:http://admin.weixin.leju.com/?site=web&ctl=login&act=index 帐户yanmin密码已更改为wooyun123
漏洞证明: 漏洞2,超权泄露了全站短信
这里可以遍历ID
漏洞3,查看材料清单的权利
点击预览&按下即可查看网站上的所有资料,猜测可以直接推送!所以不要做遍历。
修理计划: 添加验证码权限控制 版权声明:请注明来源Format_smile @乌云