拼多多(pinduoduo.com)某系统任意用户注册漏洞[T00ls-2019-00027]
漏洞信息 | |
---|---|
漏洞编号: | T00ls-2019-00027 |
漏洞作者: | 两根黄金叶 |
漏洞类型: | 程序逻辑错误 |
漏洞危害等级: | 中等 |
漏洞提交时间: | 2019-03-15 |
根据《中华人民共和国网络安全法》,本站漏洞永不公开,若厂商想了解详情请咨询[email protected]!
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2024 T00ls All Rights Reserved.
评论8次
如果有任意用户注册,这就可以被利用在砍单上,以大量的假用户,即使每人砍一分钱,只要数量够多就能实现,0元砍价免费拿。这个洞可以深挖。
这个论坛是否还在?
应该是注册验证码修改返回包就搞定了吧
说说我的理解。 1.A用自己手机号注册,输入验证码等信息之后,提交数据包时候,把手机号改为其他的人的。 2.短信验证码是4位,容易爆破。
此处的任意用户注册是修改的返回包么
任意用户注册应该就是,可以注册类似于{admin,user,root,system,sa,} 的用户吧
看来老哥在pdd任职啊 是不是被标题吓到了?
标题反复读3遍没读懂