漏洞标题 小爱弱密码可以编辑/查看用户和SQL注入 相关制造商 小爱 漏洞作者 Noxxx 提交时间 2016-04-25 20: 07 公共时间 2016-06-10 09: 40 漏洞类型 后台的密码很弱 危险等级 高 自我评估等级 10 漏洞状态 制造商已确认 标签标签 漏洞详细信息 首先看看Whois的小爱， 有一个.net域名，然后运行一个子域来查找很多后台应用程序。 Authqas.xiaoenai.net Monitor1314.xiaoenai.net Admin.xiaoenai.net Ci.xiaoenai.net Games.xiaoenai.net Smtp.xiaoenai.net Package.xiaoenai.net Op.xiaoenai.net Admin.xiaoenai.net Apollo.xiaoenai.net Conf.xiaoenai.net Wall.xiaoenai.net Sell.xiaoenai.net Streetadm.xiaoenai.net Gitlab.xiaoenai.net 他们中的许多人没有验证码和登录次数，因此您可以强制使用密码。 我跑了一下，找到了一个弱密码。 王斌123456 方鼎123456 CEO的帐户可以编辑和查看邮箱和手机，这样您就可以将自己喜爱的任何人更改为自己的. 反馈和社区： 您可以添加修改的项目和主题以查看所有订单（大约数十万个订单），并且存在SQL注入问题。 基本上单击页面时会出现注入问题。 https://sell.xiaoenai.net/order/list/search_all?name=A&phone=&id=&product_id= （xiao 123456） https://streetadm.xiaoenai.net/productions/list/search_all?id=10&seller_id=&title=&seller_name=&scene= 这两个相似之处是相似的。任何一个参数都存在注入。 漏洞证明： 查看详细说明 修理计划： 添加验证码或以更安全的方式登录。某些背景不应暴露给外部网络。 版权声明：请注明出处Noxxx @乌云