### 简要描述:
建站之星用户中心设计不当可操作任意站点
### 详细说明:
后台用户中心拉取站点信息的时候没有对站点名所有者验证。
不知道生成的站点名pro111111这样的是什么格式的,如果实现其他人知道这个站点名的话直接,POST这个id就可以得到网站管理名和管理密码了.然后就可以进网站改改删删了.
但是可以从搜索引擎获取
[<img src="https://images.seebug.org/upload/201405/29153619257b54ec6c83e3acf2fdc9346dd0c5be.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/29153619257b54ec6c83e3acf2fdc9346dd0c5be.png)
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201405/19223352e605476e8c62cab61f5f0ab76b0fa593.png" alt="QQ截图20140519221130.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19223352e605476e8c62cab61f5f0ab76b0fa593.png)
还会泄漏一个check值
[<img src="https://images.seebug.org/upload/201405/29154223ebb166eb9ee6c187f935f416a0ab057a.png" alt="check.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/29154223ebb166eb9ee6c187f935f416a0ab057a.png)
京公网安备 11010502034610号
暂无评论