我们修改自己的密码抓下包 发现如下接口
后面的serviceKey是个摆设 对任意用户都生效 去官网找个活跃用户 替换掉号码测试
返回值比对
登陆测试 成功了
搞个手机号码库 用burp遍历一下 全站用户的信息就到手了!!! 我保证不是你同行!哈哈!
查看更多关于AA拼车漏洞3#(AA拼车设计不当可批量修改全站用的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15144
AA拼车漏洞3#(AA拼车设计不当可批量修改全站用
阅读:37次