网易有道招聘可重置任意用户密码 - 网站安全

网易有道招聘系统邮件验证存在严重设计缺陷，可导致任意邮箱跳过邮件验证、对任意用户重置密码，严重威胁到应聘者的资料安全。

网易有道招聘的注册、验证邮件格式如下：

点击此链接激活您的网易招聘网站帐号：

http://campus.youdao.com/submit/activate.php?user=XXXXXFxLmNvbQ==&code=MTM1MTczOTkwNg==

谢谢！

请点击此链接，您的密码将被重设为：1351741688

http://campus.youdao.com/submit/resetpass.php?user=XXXXXFxLmNvbQ==&pass=MTM1MTc0MTY4OA==

网易有道招聘小组

其中，user，code，pass等字段均为base64编码格式，解码后对应的是用户注册邮件和操作时的时间戳，恶意用户可以轻易的猜测到时间戳。更不可思议的是，服务器只检查了链接访问时间的有效性，经测试，只要是在短时间内，都可以绕过服务器验证。最最最不可思议的是，重置的密码就是时间戳。

ps:有道毕业生招聘不会就是毕业生开发的吧！

只要取回一下密码，马上提交构造好的url对方密码就被改掉了。

修复方案：

重写邮件激活、验证模块的逻辑

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did14569

更新时间：2022-09-13 阅读：55次