漏洞描述
某视讯平台存在登录绕过漏洞,可通过修改返回包绕过后台登录,还可进行任意操作删除,重启、升级、重置等等
漏洞实战
无需正确的账号密码即可未授权对后台进行操作
访问漏洞url
登录页面如下
输入任意账号密码比如:admin/admin
替换响应包为:
{"token":null,"result":null}
可任意操作,删除,重启、升级、重置等等
成功登录:
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
原文始发于微信公众号(儒道易行):某视讯平台存在登录绕过漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论