拼多多(pinduoduo.com)某系统任意用户注册漏洞[T00ls-2019-00027]
漏洞信息 | |
---|---|
漏洞编号: | T00ls-2019-00027 |
漏洞作者: | 两根黄金叶 |
漏洞类型: | 程序逻辑错误 |
漏洞危害等级: | 中等 |
漏洞提交时间: | 2019-03-15 |
根据《中华人民共和国网络安全法》,本站漏洞永不公开,若厂商想了解详情请咨询[email protected]!
Checkmarx在与 The Hacker News 分享的一份报告中表示,开源软件 ...
ALGS 是一个电子竞技锦标赛系列,玩家可以在快节奏的战略大逃杀 ...
Red Hat周五发布了一个“紧急安全警报”警告,称一个名为XZ Util ...
# 0x01 S7COMM协议S7COMM 全称S7 Communication,是西门子专有协 ...
##########phithon from xdsec & parsecurl: http://parsec.me## ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。
Copyright © 2008 - 2024 T00ls All Rights Reserved.
评论8次
如果有任意用户注册,这就可以被利用在砍单上,以大量的假用户,即使每人砍一分钱,只要数量够多就能实现,0元砍价免费拿。这个洞可以深挖。
这个论坛是否还在?
应该是注册验证码修改返回包就搞定了吧
说说我的理解。 1.A用自己手机号注册,输入验证码等信息之后,提交数据包时候,把手机号改为其他的人的。 2.短信验证码是4位,容易爆破。
此处的任意用户注册是修改的返回包么
任意用户注册应该就是,可以注册类似于{admin,user,root,system,sa,} 的用户吧
看来老哥在pdd任职啊 是不是被标题吓到了?
标题反复读3遍没读懂