来源:自学PHP网 时间:2015-04-16 23:15 作者: 阅读:次
[导读] 360shop 最新版,淘店通2代,可查看,修改任意用户收货地址信息。测试站点为官方最新版演示站:http: zhangheng v2 taodiantong cn测试了官方案例,老版也存在同样注入。我们先在官方最新版...
|
360shop 最新版,淘店通2代,可查看,修改任意用户收货地址信息。
测试站点为官方最新版演示站:
http://zhangheng.v2.taodiantong.cn
测试了官方案例,老版也存在同样注入。
我们先在官方最新版演示站:http://zhangheng.v2.taodiantong.cn注册一个账号111111@111.com
然后添加自己的收货地址,我的收货地址ID是4:
 这是我自己的收货地址信息:
 然后我们来修改我们的地址信息,然后抓包:
 把我这里的地址ID=4改成其他的ID就能看到对应ID的收货地址信息。
这里我们改成2:
 成功看到ID为2的地址信息。
这样的话,我们就可以遍历这个ID获取全站用户的信息了:
如下图,我们遍历这个id,然后就能收集到全站用户的收货地址信息。
 修复方案:
控制用户权限及用户属性。
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
