ثغرة بسيطة عند شركة اورونج

بعد سلسلة تجارب فالتطبيق ديالهم وقفت على بزاف ديال الثغرات، لكن هادي هي الأكثر غباء.
فاش كتبغي تدخل للكونط ديالك، التطبيق كيطلبك فاللول رقمك، كيصيفط للAPI يشوف واش كاين، و عوض ما يجاوب غير ب0 او 1 كيجاوب بالإسم الكامل ديال صاحب الخط.
هادا سكرين من request
الAuthorization اذا ديكوديناها بالbase64 كتعطينا :
mobile_user:Orange_2018
درت سكريبت بسيط كيستغل هاد الثغرة :
http://xploit.run/orange

رأي واحد حول “ثغرة بسيطة عند شركة اورونج

اترك تعليقًا

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s