彩乐乐caipiao网任意账号密码修改
点击忘记密码
为了测试,我预先注册和绑定了下手机。
下图是成功修改 admin账号的证明
惊喜的是不需要填写手机号码,就可以发验证码,这网站问题貌似还挺多,验证码1点的时候发的,凌晨4点才收到验证码。
因为验证码是四位的。用了 burp suite的Intruder功能 暴力扫了一下验证码,貌似不行。
然后想看看修改页面是form是什么样子的。。
明显的漏洞,提交的时候带上了 用户名。也就是说把用户名改成你想要的,就可以修改密码了。
用burp suite 拦截提交,然后修改account字段,再forward 就可以成功修改密码了
这是改了admin账户的图
特意去看了下。都没绑定银行卡,也就是说我应该能提走那 一块钱。。。
修复方案:
这个改起来不难吧,要是稍微重视一点安全业,就不会发生了。
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;