联想某站点任意用户密码重置 - 网站安全 - 自学

存在问题的站点：联想开发社区

1.注册两个帐号，信息如下（可根据浏览器区分）：

2.通过chrome浏览器调试工具修改其中一个用户信息如下：

3.点击提交并抓包得到如下数据信息；

4.我们将cookie中developerId参数值修改为第二个用户（firefox）的值并提交，然后重新登录该用户发现账户信息已经被修改；

5.然后我们就可以使用该邮箱帐号重置该用户的密码咯，当然这里要重置用户的密码还需要知道用户的登录帐号，但是这个我们可以通过联想的客服吧（这里纯属个人猜测），我们可使用这个邮箱给客服发邮件（比如说忘记邮箱对应的登录帐号）；

6.如果从客服或者其他途径找到对应的登录用户名，那么；

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did14749

更新时间：2022-09-13 阅读：54次