记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

万车网某处接口配置不当导致数万用户密码任意重置漏洞

2015-04-16 21:05

问题出在订单处



http://www.wanche.com.cn/orderdetail/110010-0-0



没有任何加密



5443.png





比如当前的用户是手机号13051860869



这里直接填写密码就可以了,比如123456



任意重置为123456



48.png







679.png







88.png





接下来换下一个用户



http://www.wanche.com.cn/orderdetail/110011-0-0



如这个



手机号码是



手机号15652703068



那么同样

123456



56.png





767.png









漏洞证明:

78.png







就不一一测试了



code 区域
http://www.wanche.com.cn/orderdetail/110010-0-0





正常的接口登陆处:

658.png

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-0106998

阅读:104333 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“万车网某处接口配置不当导致数万用户密码任意重置漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云