记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

一定条件下可重置搜狐旗下嘀嘀派任意用户密码

2014-07-18 13:00

看到了梧桐雨发的这个

WooYun: 搜狐旗下嘀嘀派可重置任意用户密码

看了一下

发现有另一种方法可以重置嘀嘀派用户密码

前提要知道对方手机号码

登陆时点击忘记密码

来到重置密码页面

输入要重置的手机号吗

点击发送验证码

火狐firebug查看一下

1.jpg



rondomCode 858415

直接明文输出验证码

漏洞证明:

2.jpg



这样就可以重置任意用户密码了

修复方案:

对发送的验证码进行加密


知识来源: www.wooyun.org/bugs/wooyun-2014-063313

阅读:113177 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“一定条件下可重置搜狐旗下嘀嘀派任意用户密码”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云