神刀安全网

漏洞标题: 装小蜜APP客户端盲打(已登录CEO后台)

漏洞详情

披露状态:

2016-02-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

1月11日消息,互联网家装监理平台“装小蜜”已经于9月份完成了2000万元A轮融资,投资方为中路资本,长石资本合伙人何华峰个人跟投。本轮融资资金主要用于监理业务的全国扩张,招募更多的优秀人才以及行业整合。

装小蜜上线于2015年3月份,隶属于北京蜜蜂兄弟科技有限公司,是中国首家O2O装修服务网站,致力于用互联网思维改革家装行业,帮助业主把好装修质量关,避开装修中的各种陷阱。创始人是王志锋。

详细说明:

code 区域
下载APP反馈建议插入xss

后台查看触发

1.png

后台功能很多 ^_^

可以查看很多业主的信息包括工程

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

还可以定位,^_^

合同打印表

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

客户

漏洞标题:  装小蜜APP客户端盲打(已登录CEO后台)

客户 : 【尼玛,把我的信息工程都泄露出去了,还装修个瘠薄】

漏洞证明:

11

修复方案:

11

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 装小蜜APP客户端盲打(已登录CEO后台)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮