与北京合作方的一次安全漏洞测试

与北京合作方的一次安全漏洞测试     作者:0x80

测试范围:网站系统安全漏洞测试,手机app,ios漏洞漏洞测试,代码审计漏洞测试,无线安全漏洞测试



1、登陆接口存在大量后台弱口令漏洞

2、搜索型xss跨站脚本攻击漏洞

3、手机任意短信轰炸漏洞

4、存储型xss漏洞(可打管理员cookie)

5、逻辑漏洞导致任意查看他人收货地址(信息泄漏)

6、逻辑用户任意密码重置漏洞(可绕过他人手机更改密码)

7、系统大量用户敏感信息泄漏漏洞(23万数据)

8、登陆接口存在cookie注入漏洞

9、某处存在sql注入漏洞(盲注)