前言:我朋友问我有没有小号,他有用,然后我就开始帮他购买QQ了一个QQ小号,意外发现越权可以查看他人订单导致所有购买的QQ账号密码都可以查看,然后你懂的...
00x1:
首先我在百度搜索了一波卖QQ的:
我随便点开了一个页面:
然后我按照流程买了一个QQ:(2块钱一个QQ?我觉得能靠这个发家致富了)
00x2:
购买成功后我觉得这个平台还挺不错的,以后社工的时候可以买几个小号来社工别人,然后我就注册了用户购买生成了一个订单:
订单详情?我脑海里想的是越权?(修改参数获取别人的订单?)
00x3:
说搞就搞:
点开后跳转到这个页面:
https://www.xxx.com/e/member/qq/show_Dd.php?enews=id&id=3525
然后我是想吧id=3525修改为1111看看:
访问:
https://www.xxx.com/e/member/qq/show_Dd.php?enews=id&id=1111
我去,真有越权啊,这里还有个"下载数据",点开看看:
PS:在购买QQ的时候我测试了逻辑支付漏洞,吧购买数量修改为-1,确实可以,但是他没有购物车,有购物车的话就可以加入购物车导致正负购买(10RMB+ -9RMB=1RMB),然后我又测试了XSS结果被过滤了,最后搞得没兴趣了就没深入下去了!By:Power_Liu
Qq:211124332