WooYun.org

这是一个漏洞集合报告，希望rank能高一点，由于怕影响系统正常运营和查水表，没有进一步shell和提权。
漏洞一:任意用户密码重置漏洞
手机下载客户端。抓包，密码重置处。
客户端POST两个包，第二个里面就会有你想要的验证码。
Mobile参数填入你女神的手机。

Checkcode 你懂的。

这时候你就可以修改你女神的密码。然后去看看女神最近跟什么人在约了，她有什么需求。你都知道了。
漏洞二：注册验证码和重置密码验证码可以爆破，没什么技术含量
具体细节就不说了。 测试了个13888888887 密码12345678
恩，这号的主人才是真土豪~~~！~~~~~
漏洞三。
多处XSS
因为实在太多，基本只要是提交到后台的文本框都可以，不一一贴了

又TM没钱赚。免费做了个测试。。
自然，后台就来了

这么多用户…

好多美女模特啊！！！！！！！！！！！！！！！！！！！！电话，照片，地址你全都可以有啊~
筛选一下，只要模特，要漂亮的

我稍微找了个漂亮的小妹妹，截图了下。你们自行YY。

最牛逼的来了~~~

修改更新地址，APK。124万肉鸡就尼玛来了！！。
声明:没有复制任何资料，没有进行任何危害操作，没有dump任何数据。没有上传任何文件。友(kan)情(kan)检(mei)测(zi)，就(zhuang)是(ge)这(xiao)样(B)。
我真希望这是个好厂商，能正视安全问题。比如立(gei)即(dian)修(li)复(wu)。