01
—
漏洞证明
1、会员课程均为未解锁状态
2、返回包泄露资源压缩包zip
3、未授权下载zip,打开其中的index.html,F12发现会员课程缩略图存在像素参数pixel=30000
4、修改像素参数pixel=999999999,得到完整高清版图片
5、APP核心业务是提供图片阅读+音频朗读,结合上一个漏洞泄露会员课程audioUrl音频,成功越权完整会员功能
02
—
漏洞危害
1、收入损失:如果非会员能够受益于会员的特权,比如下载高清图片和听取音频教程,那么许多用户可能就不再购买会员资格。这将直接导致公司的收入损失。
2、数据安全和知识产权问题:高清图片和音频课程是APP的核心资产,如果被未授权的公开访问或下载,那么APP的数据安全就会受到威胁。此外,这还可能涉及到知识产权的侵犯问题。
3、信誉和用户信任受损:如果发现系统存在安全漏洞并被大规模利用,APP的公众形象和信誉可能会受到重创。用户可能会开始质疑其其他部分的安全性,这可能导致用户的流失。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
