记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

悠哉网任意帐号密码秒改漏洞

2014-07-11 13:20

首先咱们先注册一个帐号。

然后找回密码

1.png



邮箱找回密码

2.png



3.png





然后提交去邮箱看看。

4.png





打开这个网站。。

重点来了。

5.png



密码就设置为 wooyun123 吧

然后单机提交用burp进行抓包。



6.png





然后修改下。。

拿 qa@uzai.com 做下示范吧。(希望悠哉网不要介意。)



7.png





修改好之后 发送

8.png





然后去登录看下

下面是 qa@uzai.com 的个人资料截图 。

9.png

漏洞证明:

看详情吧。

修复方案:

最后设置密码的时候直接取的post的数据。

应该重新设计一下。

知识来源: www.wooyun.org/bugs/wooyun-2014-062421

阅读:55955 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“悠哉网任意帐号密码秒改漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云