首页 » 漏洞 » 微影时代管理后台设计逻辑缺陷(财务/订单/红包等信息泄露)

微影时代管理后台设计逻辑缺陷(财务/订单/红包等信息泄露)

 

火星救援最近好火,我也要上火星种土豆,我要种土豆......... 于是在你们网站买电影票的时候,看了下你们主站没发现什么漏洞,然后google一下 你们公司发现了好几个后台管理地址然后找到这个后台

http://om.wxmovie.com/

顺便试了下 没发现有做登录限制,于是乎 爆破一组准备,123,123 爆破完毕 发现几个密码为123456

的账号,随便登录几个看看 ,哟权限还不小,还可以赋权限...

以下密码均为123456

外加一个phpinfo 泄露

http://ad.wxmovie.com/test1.php

漏洞证明:

微影时代管理后台设计逻辑缺陷(财务/订单/红包等信息泄露)

微影时代管理后台设计逻辑缺陷(财务/订单/红包等信息泄露)

微影时代管理后台设计逻辑缺陷(财务/订单/红包等信息泄露)

修复方案:

加错误登录次数限制

原文链接:微影时代管理后台设计逻辑缺陷(财务/订单/红包等信息泄露),转载请注明来源!

0