微信营销,挺火的,也注意用户隐私安全哦~~~
微信会员管理这个模块,有个导出会员的功能,看一下
点完以后请求的URL为 http://www.weimob.com/MemManage/MemberExport/aid/330896/keyword-input//type//integral-grade 我测试了一下,只访问http://www.weimob.com/MemManage/MemberExport/aid/330896 就可以 下载 用户的列表。 只不过我测试的号没有用户,下载下来是空的。 -------------------------------------------------- aid后面的就是微盟平台的用户id,看这个url目测没验证身份。 直接用burpsuite跑了一下id从0到100的微盟用户 看一下返回的数据信息。
文件大小不一样,下载几个回来看看。 ID为77的
ID为49的
id为22的
----------------- 还有一堆。。。 只测试了几个id 现在我的id是330896,几十万的微盟用户, 微信 用户目测也不会少。 传说中的新型脱裤么。。 抓紧修复吧。用户量略大~
修复方案:权限验证
查看更多关于微盟某处缺陷可导致泄漏大量会员信息(可脱裤的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15174