不用任何安全漏洞就能轻松进入中国联通的统一管理的后台,这报告竟然有了魔幻黑客大片的即视感。我们到底是该膜拜思路诡异的白帽子,还是去膜拜神一样的企业呢?反正乌云君给两位神都拜了下,你们看着办:)
要问联通的后台在哪里?当然是 admin.10010.com ,但是没有账号无法登录,准备找个漏洞(住手!说好的不能用任何漏洞的啊)……好吧,那白帽准备通过正常渠道搞一个工号。
不知道的信息随便填就好,就说自己是总公司的,然后申请开通各种权限,不一会成功开通的短信发!来!了!
登录成功。就这样各种套餐、APP管理、账单管理、网厅广告投放、网厅导航菜单管理等等功能权限就这样到手了,厂商你确定不是在跟大家开玩笑?
乌云君也用自己亲身经历告诉大家,审核是个技术活,且审且谨慎!
漏洞编号:WooYun-2015-119843,点击原文可查看细节
本文始发于微信公众号(乌云漏洞报告平台):#一周经典漏洞回顾# 不用任何漏洞就能进入中国联通管理后台?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论