心动游戏设计不当泄露用户手机号码 - 网站安全

本来想重置任意用户密码的...万恶的验证码啊... 就拿自己刚注册的账号做测试...

登陆时候直接点忘记密码，来到密码找回页面... http://www.xd.com/security/forget_pass

填入用户名，下一步，需要输入用户手机号，但是由于只隐藏了4位数字，这里由于没有错误次数限制，可以抓包暴力猜解到真实的手机号码，如下图...

   

由于只有4位数字，所以速度还是很快的，很轻松就可以得到用户的手机号码...

 

其实这个是小问题...

 

不过毕竟泄露的是用户的隐私...万一被不法分子利用呢...发个中奖诈骗信息等等...

 

或者社工等等...

 修复方案： 最好有个错误次数限制什么的吧...

查看更多关于心动游戏设计不当泄露用户手机号码 - 网站安全的详细内容...