记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某拼车App重置所有用户密码

2014-09-22 03:45

App 修改密码功能,没有对旧密码做验证,可通过user_id来重置任意用户密码

通过工具抓去修改过密码得请求数据

QQ20140807-6@2x.png





试着修改user_id 查看页面返回信息

本人得

QQ20140807-7@2x.png





测试用户 手机号15811111567 user_id 39111

QQ20140807-8@2x.png

漏洞证明:

漏洞证明:

修改密码界面

IMG_0004.PNG





测试用户

IMG_0003.PNG



IMG_0003.PNG



图片涉及用户数据的地 还请管理员打码

修复方案:

加强权限验证

知识来源: www.wooyun.org/bugs/wooyun-2014-071445

阅读:57753 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“某拼车App重置所有用户密码”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云