记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中国最具影响力的弹幕视频平台AcFun存在重大设计缺陷影响任意用户

2015-06-16 18:10

这是个重置密码惹的祸。





1、在随便打开个视频作者,就是下图的账号作示例吧:

1.png





2、输入名字,验证码,提交

2.png



在这一步中,不需要向账号的手机发送验证码,我们随意输入个错误的验证码,点击提交:

3.png



3、此时抓包,将返回包修改为正确的返回包,即可进入下一步;

4.png



4、输入新的重置密码,点击提交;

5.png

漏洞证明:

登陆验证下,看修改成功否,修改成功,见下图:

成功.png







这哥们好伙,这么多个粉丝;

产生该漏洞的原因是服务器端未对验证码作校验,可以不向用户的手机号发送验证码即可修改密码,在用户毫不知情的情况下,密码已然已被修改。危害性不言而喻!!

些漏洞危急任意用户!!!

修复方案:

这类问题最简单有效的方法就是在最后一步对账号的手机和验证码作验证码,即账号与手机号对应,验证码与手机对应。即可!!!



听说厂家很不错,来个小礼物可好?



知识来源: www.wooyun.org/bugs/wooyun-2015-0119765

阅读:88681 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“中国最具影响力的弹幕视频平台AcFun存在重大设计缺陷影响任意用户”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云