拼多多(pinduoduo.com)某系统任意用户注册漏洞[T00ls-2019-00027]

2019-03-15 23:32:14 8 两根黄金叶 7973

漏洞信息
漏洞编号：	T00ls-2019-00027
漏洞作者：	两根黄金叶
漏洞类型：	程序逻辑错误
漏洞危害等级：	中等
漏洞提交时间：	2019-03-15

根据《中华人民共和国网络安全法》，本站漏洞永不公开，若厂商想了解详情请咨询admin@t00ls.net！

类别漏洞监测

关于作者

两根黄金叶0篇文章0篇回复

两根黄金叶

评论8次

要评论？请先登录或注册

8楼

w0rth1
2020-5-7 14:33

如果有任意用户注册，这就可以被利用在砍单上，以大量的假用户，即使每人砍一分钱，只要数量够多就能实现，0元砍价免费拿。这个洞可以深挖。

回复|@ta|踩(0)|顶(0)
7楼

xia1234
2019-4-21 03:11

这个论坛是否还在？

回复|@ta|踩(0)|顶(0)
6楼

legendsec
2019-4-2 21:47

应该是注册验证码修改返回包就搞定了吧

回复|@ta|踩(0)|顶(0)
5楼

3ecurity
2019-3-31 23:27

说说我的理解。 1.A用自己手机号注册，输入验证码等信息之后，提交数据包时候，把手机号改为其他的人的。 2.短信验证码是4位，容易爆破。

回复|@ta|踩(0)|顶(0)
4楼

yuneya
2019-3-25 17:15

此处的任意用户注册是修改的返回包么

回复|@ta|踩(0)|顶(0)
3楼

tangshoupu
2019-3-24 23:58

任意用户注册应该就是，可以注册类似于{admin,user,root,system,sa,} 的用户吧

回复|@ta|踩(0)|顶(0)
2楼

seaman
2019-3-24 11:39

看来老哥在pdd任职啊是不是被标题吓到了？

回复|@ta|踩(0)|顶(0)
1楼

wlozz
2019-3-23 17:11

标题反复读3遍没读懂

回复|@ta|踩(0)|顶(0)

热门文章

安全资讯调查显示甲骨文云服务器确实被攻击并泄露数据但甲骨文始终没有承认

早前名为 rose87168 的黑客发帖称在 2025 年 2 月份入侵 Oracle ...

2025-03-31 17:08:33 7 2478

渗透测试Java 安全 | Click1 链分析

Click1 链分析环境说明链路分析危险方法PropertyUtils::getValue ...

2025-05-06 11:55:20 7 1141

渗透测试投稿文章：在cron中添加隐藏计划任务

## 原理`/etc/crontab`文件是系统级计划任务配置，几乎没有人修 ...

2025-05-14 14:56:40 11 10315

安全资讯Telegram炸了被抓了560亿条聊天记录涉及8.6亿名用户

即时通讯平台 Telegram 日前出现名为 Funstatgrtbot 的机器人， ...

2025-03-27 15:54:58 13 3595

安全资讯FUNSTAT - Telegram有人索引了大量用户的公开信息并做成bot可供所有人查询

用自己的号测试了下，收集的信息非常全面，包括了你的用户名变更 ...

2025-03-25 08:17:56 32 4496

精华推荐

代码学习简单二开geacon_pro和cs实现内存加载frp

# 简单二开geacon_pro和cs实现内存加载frp---## 一.前言好久没发 ...

2023-07-20 09:35:11 21 1734

渗透测试初级域渗透系列 - 02. 常见攻击方法 - 1

初级域渗透系列 01. 基本介绍&信息获取 https://www.t00ls.com/t ...

2015-07-11 16:31:11 52 3249

渗透测试ms14-068域提权系列总结

0x01 ms14-068.exe普通域提权ms14-068.exe的download地址：https ...

2018-01-23 09:02:15 26 1593

渗透测试对某 DedeCMS 二开系统全局变量追加漏洞利用

首发于我的博客本文纯属虚构，网站皆为本地靶场。## 起因无意中 ...

2022-01-10 19:38:37 34 1388

渗透测试postgres注入总结

以前遇到pg时顺手做的总结，因为是一条一条测试然后记录的，基本 ...

2015-06-04 13:08:52 18 579

Top ↑