信息泄露
通过对智慧通行个人中心中修改电话号码功能进行测试发现其响应包中存在信息泄露问题
其中返回包中存在接口,管理人员等信息。
后端未过滤
可以通过burpsuite完成对于电话号码的任意修改绕过前端过滤。
在前端修改电话号码会显示如下
于是尝试在后端绕过,在加入其它字符时需要通过url编码才可成功绕过
如图所示,成功插入语句
通过对智慧通行个人中心中修改电话号码功能进行测试发现其响应包中存在信息泄露问题
其中返回包中存在接口,管理人员等信息。
可以通过burpsuite完成对于电话号码的任意修改绕过前端过滤。
在前端修改电话号码会显示如下
于是尝试在后端绕过,在加入其它字符时需要通过url编码才可成功绕过
如图所示,成功插入语句