记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

人类惰性之伊利集团重要系统用户密码重置漏洞(秒改/奇葩设计)

2015-09-21 21:00

伊利的电子邮件系统

code 区域
http://mail.yili.com/



QQ20150807-6@2x.png



忘记密码

QQ20150806-2@2x.png





发现验证的答案特别奇葩

QQ20150806-3@2x.png





QQ20150806-4@2x.png





不知道是这个系统设计找回密码时的验证问题和答案就是一样的,还是运维图方便,怕大家忘记,要求大家都这么做的,又试了几个,全都可以重置成功,均是验证答案填写和问题一样

QQ20150807-1@2x.png



同样是答案和问题一样

QQ20150807-2@2x.png





QQ20150807-3@2x.png





QQ20150807-4@2x.png





QQ20150807-1@2x.png





QQ20150807-5@2x.png





QQ20150807-6@2x.png





邮箱名可用中国姓名top500那个做成的字典

就这样就可以秒改伊利核心用户密码了...

漏洞证明:

已证明

修复方案:

不知道是如何设计的,若果运维为方便,怕大家忘记,要求大家验证问题和答案填一样的话,改成正常的吧,或者换成短信验证

知识来源: www.wooyun.org/bugs/wooyun-2015-0132455

阅读:92327 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“人类惰性之伊利集团重要系统用户密码重置漏洞(秒改/奇葩设计)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云

本页关键词