当当网任意用户密码修改漏洞 - 网站安全 - 自学

http://m.dangdang测试数据/forget_psd.php?sid=e14aa9b65e0f4d05

 

输入要更新帐号的手机号码，然后提交。

下一步，对验证码进行暴破，由于验证码只4位。。网速乐观的情况下，数分钟就能 破解 出来。

 

也不多说了，经测试，成功破解了数个帐号。

 

 

Host: m.dangdang测试数据

Accept-Encoding: gzip, deflate

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

 

 

 

修复方案：

你比我更懂！

查看更多关于当当网任意用户密码修改漏洞 - 网站安全 - 自学的详细内容...