申通快递某系统存在任意用户密码修改漏洞
申通快递某系统存在任意用户密码修改漏洞
地址:http://182.92.82.171:8088/seeyon/index.jsp
漏洞接口地址:
http://182.92.82.171:8088/seeyon/services/authorityService?wsdl
使用用户名和密码进行身份验证
获得token值
如下图
测试得到用户wangrui
利用接口和token 值,对于其密码重置
http://182.92.82.171:8088/seeyon/services/personService?wsdl
如下图
重置之后登录系统
通讯录信息
这么多人可以任意重置密码哈
申通快递某系统存在任意用户密码修改漏洞
地址:http://182.92.82.171:8088/seeyon/index.jsp
漏洞接口地址:
http://182.92.82.171:8088/seeyon/services/authorityService?wsdl
使用用户名和密码进行身份验证
获得token值
如下图
测试得到用户wangrui
利用接口和token 值,对于其密码重置
http://182.92.82.171:8088/seeyon/services/personService?wsdl
如下图
重置之后登录系统
通讯录信息
这么多人可以任意重置密码哈
解决方案:
升级,打补丁