WooYun.org

圣诞节快到了，打算在酒吧的微店定一个桌位。但是一听要1000多的消费才允许订桌，我想想也就算了，还不如挖漏洞。
发现该连接可以未授权访问微商的手机号，密码，余额，信用值，微信ID等。http://xxx.xxx.com/data/account/?uid=（number）
example:
http://7m9bar.bama555.com/data/account/?uid=1

原本以为应该是小漏洞，结果就没去管。
原来全国都用着这个所谓的微信CMS。不知道怎么称呼对不对。
访问主站:http://www.bama555.com/auth/login
然后是找关键字

为了保险用Google语言搜索一下我的目标站点,就以“拥抱变化，开启移动互联网梦想! ”为关键字吧。

然后编辑谷歌搜索语句：intitle:微网站后台登录 intext:拥抱变化，开启移动互联网梦想!找到23条数据，但是实际有用的却不多。

百度里面又找了一些有用的。

可用的网站：
www.bama555.com
www.69juzi.com
hzym.vilison.com
www.vson.cc
c.bama555.net
你以为就这些吗？？
还记得那些微店的域名吗？都是一些子域名。那么可用这样构造谷歌语句。
6千多个微店，而且看了一下，基本都没有重复的。

以这个URL为例子，这个URL记录了10万的用户信息。
http://7m9bar.bama555.com/data/account/?uid=100000
我找到的是5个，加上未被搜索引擎发现的我算少点，就2个吧。那么就是7个。
那么总共有70万的微店商家信息被泄露出去了，而且这些还不包括用户在微商里面的注册信息。
不知道我的算法对不对。。。
在这里有厂家的官网
http://beijing.liebiao.com/qitajiameng/135842185.html
之后发现好像是聚来宝投资的，这个不太确定。
http://www.julaibao.com/
官方网站
http://www.431801.okwei.com/
http://www.okwe1.com/