APP安全之掌厨可操控100w用户(管理菜谱可诱导用户把菜抄糊)

APP下载统计

http://www.wandoujia.com/apps/com.gold.palm.kitchen 豌豆荚 44 万

人安装

http://android.myapp.com/myapp/detail.htm?apkName=com.gold.palm.kitchen 应用宝 117万下载

http://apk.hiapk.com/appinfo/com.gold.palm.kitchen 安卓市场 60.1万热度

http://zhushou.360.cn/detail/index/soft_id/485874?recrefer=SE_D_%E6%8E%8C%E5%8E%A8 360助手 76万次

location : http://boss.izhangchu.com/main/index
 toplocation : http://boss.izhangchu.com/main/index
 cookie : Hm_lvt_947a28199a27691a3e5e3534e62a33b9=1443405214
 opener :
 username :
 password :

马丹，又是cookie过期

我们爆破

得到

liwei密码为123456

1：APP打开启动打开界面图片

2：菜肴管理 （http://h5.izhangchu.com）

dishes_id=14907

我们看到这个菜肴id是14907

百度到的。。。
 
 四：煮牛奶时不宜加糖
     不少人习惯在煮牛奶时加一些糖，认为这样煮出来的牛奶又甜又好喝，其实这种做法是错误的。
     因为，在煮牛奶时加糖，牛奶中的赖氨酸与果糖在高温作用下会生成一种有毒物质——果糖赖氨酸。这种物质不但不能被人体消化吸收，而且还会对人体健康造成危害，人喝了这种牛奶后会出现肠胃不适、呕吐、腹泻等症状。儿童经常喝加糖煮出来的牛奶，对智力发育十分不利。

哈哈

加20克糖。甜不死你= =

笑死我鸟

我已经改回来了。免得诱导用户进医院。。

收货地址

订单管理

6万评论

官方号私信

3万帖子

guoyuhuang

huangxin

xiezaoyong

wangji

发现几个创建者

爆破出xiezaoyong密码也为123456

11

修改密码。

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

1. 2016-03-25 22:01 | Moonbow ( 实习白帽子 | Rank:87 漏洞数:28 | 我就是个渣渣)

   1

   。。。。

   1# 回复此人

2. 2016-03-26 03:52 | 邪少 ( 实习白帽子 | Rank:98 漏洞数:18 | 百里长苏)

   1

   管理菜谱可诱导用户把菜抄糊

   2# 回复此人

3. 2016-03-26 10:25 | 肖泽 ( 实习白帽子 | Rank:53 漏洞数:15 | ....)

   1

   可诱导用户毒死男朋友

   3# 回复此人

4. 2016-03-26 10:55 | Yuku ( 实习白帽子 | Rank:58 漏洞数:27 | 数据挖掘)

   1

   可诱导用户毒死男朋友

   4# 回复此人

5. 2016-03-26 12:24 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

   1

   可诱导用户毒死男朋友

   5# 回复此人

6. 2016-03-26 13:46 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问，还有谁！！！！！！！！！！！！！...)

   1

   楼上的你们咋就那么纯洁呢。你媳妇端上来一碗汤假如是看掌厨做的，那你就等死吧！请务必让你老婆下载一个掌厨爱(A)拍(P)拍(P)

   6# 回复此人

7. 2016-03-27 21:44 | sysALong ( 普通白帽子 | Rank:464 漏洞数:100 | 在我们黑龙江这噶哒，就没有什么事是【撸串...)

   1

   这标题，乐喷了

   7# 回复此人

8. 2016-03-28 03:01 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:259 | 雙魚座聖鬥士雅柏菲卡)

   1

   哈哈哈

   8# 回复此人

9. 2016-05-21 12:40 | 菜鸟小Q ( 普通白帽子 | Rank:205 漏洞数:56 | 坚定自己的信仰并一直做下去......)

   0

   哈哈哈，恶趣味

   9# 回复此人