记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

酒仙网可重置任意用户密码

2015-05-22 01:15
漏洞标题 酒仙网可重置任意用户密码
相关厂商 酒仙网
漏洞作者 小威
提交时间 2015-05-14 10:52
公开时间 2015-05-21 15:11
漏洞类型 设计缺陷/逻辑错误
危害等级
自评Rank 20
漏洞状态 厂商已经修复
Tags标签

漏洞详情

1.注册个帐号,然后找回密码操作!这里不急,我再打开一个浏览器窗口,然后随便找个用户来做测试,在wooyun看到有人重置过13333333333这个帐号,我继续用它做测试!

001.jpg

002.jpg

先找回我自己的帐号,手机会接收到一个验证码!这个验证码我输入到我要重置的13333333333的找回密码处,然后确认。呵呵,直接跳出新密码输入框!

003.jpg

004.jpg

重置密码后,登录试试

005.jpg

漏洞证明:

1.注册个帐号,然后找回密码操作!这里不急,我再打开一个浏览器窗口,然后随便找个用户来做测试,在wooyun看到有人重置过13333333333这个帐号,我继续用它做测试!

001.jpg

002.jpg

先找回我自己的帐号,手机会接收到一个验证码!这个验证码我输入到我要重置的13333333333的找回密码处,然后确认。呵呵,直接跳出新密码输入框!

003.jpg

004.jpg

重置密码后,登录试试

005.jpg

修复方案:

版权声明:转载请注明来源 小威@乌云

转载请注明:安全脉搏 » 酒仙网可重置任意用户密码

知识来源: www.secpulse.com/archives/32021.html
想收藏或者和大家分享这篇好文章→复制链接地址

“酒仙网可重置任意用户密码”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云