HanDs
管理员

[7月漏洞公开] 医疗企业安全之微糖一处xss直捣后台(70万患者/6000名医生) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

微糖初创团队于2013年成立,原名博医帮,2014年更名为微糖,微糖是专业的糖尿病全程管理平台,提供院内外的糖尿病管理服务。

目前,拥有两款核心App,分为糖友使用的“微糖”端和专业医护人员使用的“微糖医生”端。微糖旨在为医生和糖友提供糖尿病全程管理服务:为医生提供全方位的支持、为糖友提供自我管理支持。旨在让帮助更多糖友微笑面对糖尿病,回归轻松生活。

详细说明:

code 区域
搜索APP关键词“医疗” 找到微糖,动态发xss





toplocation : http://sys.boyibang.com/index.php?s=/Knowledge/postsList/ended/2016-05-28/p/2.html

cookie : PHPSESSID=bb7uga8faocr9plbh8lo5d8mh2





1:患者列表



1.jpg





2:医生列表



共计 6571 医护人员,已认证998,未认证4795,待认证109,已拒绝669,已上线186, 当前查询共返回记录6571 条。



2.jpg





3:服务订单



3.jpg





4:订单



4.jpg





5:加积分



5.jpg





6.jpg





漏洞证明:

11

修复方案:

22


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
医疗 企业 安全 x ss
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复