HanDs
NO.2

[7月漏洞公开] Camera360任意用户登录/超5亿用户使用/还有商城/云相册 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

Camera360-全球领先手机摄影应用,多个国家摄影榜排行第一。Camera360是成都品果科技有限公司推出的基于iOS、Windows Phone和Android的功能强大的手机摄影软件。

详细说明:

http://www.camera360.com/

0.1.png





1.jpg





2.jpg

漏洞证明:

漏洞细节看下面链接

http://weibo.com/ttarticle/p/show?id=2309403959482995611795



1、去新浪微博逛逛,随便找个人,抓取用户id



2、打开相机360,选择微博登录,认证后,修改新浪返回的id,释放请求,即可登录任意用户的账号

3.png





里面有云相册,这么多用户,肯定有很多人会使用云相册···

4.png





还有C币,商城,可以买东西

5.jpg



6.jpg







修复方案:

校验一下咯


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
Camera360 任意用户登录 / 5 亿用户使用 / 还有商城 / 云相册
#1楼
发帖时间:2016-7-6   |   查看数:0   |   回复数:0
游客组