记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中国人寿官网存在任意用户密码修改漏洞

2015-09-07 04:15

这个问题很多网站都有这个问题,修改返回状态码就可以直接绕过



第一张图:随便猜解用户(用户名/身份证号/个人计划证明号)如果正确就可以进行下一步。这个很简单。

1.jpg



第二张图:

2.jpg



第三张图:抓包修改状态码。

3.png



第四张图:

4.jpg



第五张。直接修改密码。登录进去。

5.jpg



密码修改成123456 麻烦通知 用户 谢谢。

漏洞证明:

第一张图:随便猜解用户(用户名/身份证号/个人计划证明号)如果正确就可以进行下一步。这个很简单。

1.jpg



第二张图:

2.jpg



第三张图:抓包修改状态码。

3.png



第四张图:

4.jpg



第五张。直接修改密码。登录进去。

5.jpg



密码修改成123456 麻烦通知 用户 谢谢。

修复方案:

后端验证

知识来源: www.wooyun.org/bugs/wooyun-2015-0138358

阅读:86974 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“中国人寿官网存在任意用户密码修改漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云