微信营销，挺火的，也注意用户隐私安全哦~~~

微信会员管理这个模块，有个导出会员的功能，看一下

点完以后请求的URL为

http://www.weimob.com/MemManage/MemberExport/aid/330896/keyword-input//type//integral-grade



我测试了一下，只访问http://www.weimob.com/MemManage/MemberExport/aid/330896

就可以下载用户的列表。



只不过我测试的号没有用户，下载下来是空的。



--------------------------------------------------



aid后面的就是微盟平台的用户id，看这个url目测没验证身份。



直接用burpsuite跑了一下id从0到100的微盟用户



看一下返回的数据信息。
 

文件大小不一样，下载几个回来看看。



ID为77的
 

ID为49的


 

id为22的


 

-----------------



还有一堆。。。

只测试了几个id



现在我的id是330896，几十万的微盟用户，微信用户目测也不会少。



传说中的新型脱裤么。。



抓紧修复吧。用户量略大~

 

修复方案：

权限验证