某医院小程序存在支付漏洞和越权查看他人身份证,手机号,住址等信息一个医院线上的小程序
登陆后点击个人信息,抓包,放到repQeter模块,
修改strUserID参数可以越权查看别人信息
放intruder模块可以跑数据,这里有几万+信息泄露
回到首页,点击医生咨询功能点
随便选一个需要付费的医生
抓确定支付的数据包
修改strJG参数,6.00修改为0.01
发送数据包返回二维码,扫码支付成功
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
免费领取安全学习资料包!
渗透工具
技术文档、书籍
面试题
帮助你在面试中脱颖而出
视频
基础到进阶
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
应急响应笔记
学习路线
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
