由于某些逻辑的设计中存在缺陷,攻击者可以修改任意其他用户的密码,从而完全控制其他用户的账户,查看详细住址,电话,订单记录等敏感信息,甚至进行其他的消费操作 详细说明: 使用目标邮箱找回密码,这里写我的测试账号 注意其中的关键逻辑 HdhCmsTest2cto测试数据 http://HdhCmsTestvipshop测试数据/account/password.php?act=step1_1&sess=37RH%2FtIcJ10k6yDePpel4TkSy4qjayXDn2VWybxgyns%3D step1_1是不是表示找回密码的步骤呢,这样我们可以尝试直接进入后面的逻辑 还真可以呢,注意那个sess似乎是代表了我们的身份,是唯一的,这里程序都替我们生成好了,最后修改密码 修复方案: 你懂得 作者 唐尸三摆手
查看更多关于唯品会逻辑缺陷致攻击者可任意修改其他用户密的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11840