记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

优酷某站设计缺陷两种方式重置任意账号密码

2015-10-10 12:45
漏洞标题 优酷某站设计缺陷两种方式重置任意账号密码
相关厂商 优酷
漏洞作者 getshell1993
提交时间 2015-08-24 18:51
公开时间 2015-10-09 16:16
漏洞类型 设计缺陷/逻辑错误
危害等级
自评Rank 12
漏洞状态 厂商已经确认
Tags标签

漏洞详情

不知是否为同个站点

WooYun: 优酷某站设计缺陷导致任意用户密码重置

一样就忽略吧

http://wechat.youku.com/login/index

设计缺陷 导致任意密码重置

漏洞证明:

密码找回时 随意输入任意4位验证码 将返回值1改成0即可重置

1.png

2.png

修改正确的返回包也可以达到任意用户注册 13333333333

3.png

还有另外一种方式也可以达到密码重置和任意用户注册

验证码只有四位数 可被暴力破解

1.png

修复方案:

最后一步要将验证码再次发到服务端进行校验

版权声明:转载请注明来源 getshell1993@乌云


知识来源: www.secpulse.com/archives/38960.html

阅读:115031 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“优酷某站设计缺陷两种方式重置任意账号密码”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云