纵有疾风起
人生不言弃
首页 > 博客 > 黑客攻防 > 正文

某拼车App重置所有用户密码 – 网站安全 – 自学p

2020-10-11 分类:黑客攻防 阅读(147) 评论(0) 扫描二维码 隐藏侧边

修改密码功能存在缺陷 可重置任意用户密码

App 修改密码功能,没有对旧密码做验证,可通过user_id来重置任意用户密码

通过工具抓去修改过密码得请求数据
 

某拼车App重置所有用户密码 – 网站安全 – 自学p插图

试着修改user_id 查看页面返回信息

本人得
 

某拼车App重置所有用户密码 – 网站安全 – 自学p插图1

测试用户 手机号15811111567 user_id 39111
 

某拼车App重置所有用户密码 – 网站安全 – 自学p插图2

 

修改密码界面
 

某拼车App重置所有用户密码 – 网站安全 – 自学p插图3

测试用户
 

某拼车App重置所有用户密码 – 网站安全 – 自学p插图4

 

某拼车App重置所有用户密码 – 网站安全 – 自学p插图5

图片涉及用户数据的地 还请管理员打码

修复方案:

加强权限验证
    上一篇: XSS的原理分析与解剖(第二篇) – 网站安全 – 自

    下一篇: PHPCMS V9 一个为所欲为的漏洞 – 网站安全 – 自学

AD:【更多看点】学生“冒死”偷拍老师,当看到最后一个,网友:这谁能顶得住

 收藏 (0)
未经允许不得转载:起风网 » 某拼车App重置所有用户密码 – 网站安全 – 自学p
分享到: 生成海报
标签:

825e5b70b68d744d

相关推荐

评论 抢沙发

评论前必须登录!

立即登录