百酷网修改任意用户密码,米有多少技术含量,大神莫喷,现在厂商貌似已经修复了,所以当你看到这个漏洞的时候,差不多已经失效了,囧。90博客版权所有,转载请注明。
漏洞说明:
百酷网要手机号才能注册,然后找回密码的机制就是给手机号发送一个验证码,问题产生了。由于发送的是6位随机数字,且不限制验证次数和验证IP,于是就可以暴力破解验证码,从而修改用户的密码。因为涉及到手机号,想要获取大量手机号也不是什么难事,又因为涉及到RMB,所以危害也算比较大。
漏洞过程:
首先找回密码,然后会给手机号发送6位随机数验证码,提交抓包。
只是简单的数字校验,于是可以用暴力破解,100线程,爆破也用不了多少时间。
输入正确的验证码,即可修改密码。
漏洞 修复:
限制验证次数和IP 验证码不要纯数字查看更多关于百酷网修改任意用户密码(含修复方案) - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13584