深圳航空可越权查看电粉信息（姓名、身份证、联系电话等敏感信息） - 网站安全 - 自学php网-自学php网

子栏目

主页 > 入门引导 > 黑客攻防 >

深圳航空可越权查看电粉信息（姓名、身份证、联系电话等敏感信息） - 网站安全 - 自学php网

来源：未知时间：2015-04-15 13:08 作者：xxadmin 阅读:次

[导读] 深圳航空可越权查看电粉信息（姓名、身份证、联系电话等敏感信息）使用深圳航空客户端查看电粉信息时存在权限提升漏洞，可以查看其它用户信息。（1）点击电粉信息时，请求...

深圳航空可越权查看电粉信息（姓名、身份证、联系电话等敏感信息）

使用深圳航空客户端查看电粉信息时存在权限提升漏洞，可以查看其它用户信息。

（1）点击电粉信息时，请求数据信息。关键数据信息：USER_ID

电粉信息请求.png

（2）服务器会返回电粉信息。包括姓名，身份证号码，性别，联系电话等敏感信息。

服务器返回信息.png

（3）仅仅通过修改USER_ID后进行重放，返回其它用户信息。

修改UID返回信息.png

安全宝约宝妹之代码审计题解 - 网站安全 - 自学php网

ThinkPHP一处过滤不当造成SQL注入漏洞及解决方案 - 网站安全 - 自学php网

最新评论

加载更多~~

添加评论

更多文章推荐

74cms某功能注入漏洞 - 网站安全 - 自学php 2015-04-15
Discuz! X3.1后台任意代码执行可拿shell - 网站安全 2015-04-15
destoon /v5.0/ 存储型xss 指哪打哪(绕过1) - 网站安全 2015-04-15
反射xss利用方法，绕过IE xss filter - 网站安全 - 自 2015-04-15
Web安全初学者的几个学习建议 - 网站安全 - 自学 2015-04-15
[安全科普]你必须了解的session的本质 - 网站安全 2015-04-15
51cto博客友情链接过滤问题可以获得登录用户co 2015-04-15
百度某分站MySQL注射漏洞 - 网站安全 - 自学php网 2015-04-15
赶集网远程代码执行漏洞(啥都有) - 网站安全 - 2015-04-15
百度相册存储型XSS - 网站安全 - 自学php 2015-04-15

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论