-
-
58第三方合作商管理平台账号密码可暴力破解
-
发表于:
2013-11-26 13:45
665
-
http://union.wap.58.com:8080/
登录没有验证码且没做任何登录次数限制,使用bp+简单字典进行测试,跑出账号:amazon/123456 123456/123456 anji/123456
用户登录成功后左侧功能栏只有简单的数据统计查询功能,试试常见目录,发现存在table,template,databackup,city等,访问下
不仅能够成功访问并且具有数据备份、修改、删除、导出等内容平台管理权限,这个应该是管理员的权限,普通用户应该不可以吧,存在越权访问。
修复方案:
登录添加限制功能,修改简单密码,重新划分权限。
(责任编辑:网络) 本文章原创来自:http://www.hack6.com QQ:283422135 (转载请保留黑客网站版权。侵权必究)
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
