爱卡汽车网某重要系统设计逻辑缺陷(成功绕过验证码限制)影响内部敏感信息
2016-07-29 14:58
489 查看
涉及内部财务/合同/供应商/渠道/项目/员工通讯录/考勤/资产 等等等等
爱卡办公系统
http://bangong.xcar.com.cn/Admin/index.php?s=/Public/login
首次访问没有验证码,尝试登陆失败一次后,会出现验证码
第一次尝试爆破的时候,抓取没有验证码的登陆请求,
会提示必须输入验证码
在多次尝试以后,发现验证码是通过cookie中的PHPSESSID来判断的
修改PHPSESSID,成功绕过了验证码限制
一枚高权限账号
员工考勤
资产信息,看到了某员工用Mac办公 福利真好
员工信息可导出,继续渗透。。。。
解决方案:
爱卡办公系统
http://bangong.xcar.com.cn/Admin/index.php?s=/Public/login
首次访问没有验证码,尝试登陆失败一次后,会出现验证码
第一次尝试爆破的时候,抓取没有验证码的登陆请求,
会提示必须输入验证码
在多次尝试以后,发现验证码是通过cookie中的PHPSESSID来判断的
修改PHPSESSID,成功绕过了验证码限制
一枚高权限账号
员工考勤
资产信息,看到了某员工用Mac办公 福利真好
员工信息可导出,继续渗透。。。。
解决方案:
相关文章推荐
- 一步一步实现web程序信息管理系统之三----登陆业务逻辑实现(验证码功能+参数获取)
- dedecms全版本设计缺陷导致验证码绕过(可用于爆破等)
- 2.4要不要加油?设计程序,用于赛车上的计算机监视系统。该程序在赛车油量偏低时(少于1/4),警示车手应该注意;在油箱接近满载(不低于3/4)时要告诉车手绕过维修站。在其他情况下,不提示任何信息,以免
- 关于CRM系统中员工,招商经理,招商专员等和代理商对于进销存系统信息查询的限制设计
- 信息安全模型 的研究及安全系统方案设计
- 人事档案信息管理系统的面向对象的分析、设计和实现
- 防止利用系统漏洞轻轻松松绕过你的验证码的方法
- 掌握信息 --设计和实现“员工自助服务”的一些重要问题
- 系统出错信息设计
- 哈哈~~成功绕过认证系统~~~~~!
- 关于 Discuz! 后台信息通知系统域名被劫持 部分站点受到影响的说明
- 学生信息管理系统-C#课程设计
- 移动机器人运动控制的模糊逻辑系统设计
- 基于GIS的北京市信息服务系统(3)——系统设计
- 河南移动网络客服系统验证码的缺陷分析和利用!
- 基于GIS、公路测量与地图学及全国路况统计普查数据库的山西省公路信息管理系统技术设计
- 基于逻辑运算的简单权限系统(原理,设计,实现) VBS 版
- Windows上的单个进程所能访问的最大内存量是多少?它与系统的最大虚拟内存一样吗?这对于系统设计有什么影响?