互动百科某处未授权访问可任意修改企业百科内容(涉及24万企业)

2013-08-06T00:00:00
ID SSV:94580
Type seebug
Reporter Root
Modified 2013-08-06T00:00:00

Description

简要描述:

可以直接访问并修改内容,没有任何的权限判断。哈哈当然不是就这个页面

详细说明:

漏洞证明:

hxxp://119.254.108.100:8899/qiyeBaikeManage.do?action=qiyeBaikeApplyList

<img src="https://images.seebug.org/upload/201308/0615152096d2d451f63cd6df59c7673c959a02ed.jpg" alt="QQ图片20130806151451.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201308/0615540566b54cb0ee483685035c95a12e56eca9.jpg" alt="QQ截图20130806155349.jpg" width="600" onerror="javascript:errimg(this);">