HanDs
管理员

[7月漏洞公开] 湖南人才网某处越权访问/涉及128w+简历信息泄漏/且可以修改默认简历内容 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

湖南人才网,存在默认简历越权访问,并且可以修改任意用户默认简历信息

详细说明:

登录湖南人才网个人账户后,进入简历->默认简历

http://**.**.**.**

1.jpg





cvid可以修改为任意id,1-128w,可任意浏览120万+的简历

2.jpg



3.jpg





第128w个的用户简历

4.jpg



5.jpg





第1个用户简历:

6.jpg





并且可以修改任意用户默认简历的信息:

8.jpg



10.jpg







漏洞证明:

修复方案:

你们更会


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
湖南 人才网 某处 越权 访问 /
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复