better最火交友社区越权漏洞涉1.9W用户资料泄露

　　首先注册个账号吧 点击手机注册

　　填写我土豪专属手机号来收验证码13012345678

　　当然是点确定啦!然后截包看看服务器返回了什么小秘密

　　这个identifying_code的MD5是啥?去解开看看

　　诶?好像就是验!证!码!果然验证通过了，下面开始调教吧

　　先来看看别人的资料里都填了啥 注册之后就有一个好友 应该是官方运维吧 拿他开刀　　         

　　我看见了贝贝的手机号 这里只需要遍历下所有会员id就可以拿到很多妹子的手机号啦/(^o^)/越权发话题 只需要改一改post里面的member_id 虽然有token但是完全没有验证

　　越权关注 同样改member_id成对方的

　　还有各种 比如越权回复、越权删主题、越权这、越权那等等在APP里联系了官方人员 就是上面提过的贝贝 很萌 可调戏 反馈了以上问题

　　解决方案：

　　token不要只验证login_member_id

原文地址:https://exploits.77169.com/2015/20151027094447.shtm