新浪某站点修改任意用户密码 - 网站安全 - 自学

一、url未 加密 ，导致能看到任意用户真实手机号码

 

二、通过url可以在找回密码时换成任意手机号码找回

 

三、登陆进去后，可以修改任何人的资料包括手机号码

 

 

 

是房产网，信息很值钱的。

 

 

 

问题URL导致：

 

http://j.esf.sina.com.cn/login/retrievepsd

 

下面我用admin来作为例子，如下图

 

我们按要求进入下一步，如下图

这时我们能够看到：

 

页面上的手机号码中间4位被*了，而url上面却没有加密，而是直接显示的，接下来就是把url上的手机号码改成自己的手机号码(为了接受到找回密码的短信)

 

修改完成后，我们得到如下页面：

OK，接下来点击[获取验证码]，让我们手机接收下验证码吧

叮咚，验证码发到手机了，如下图

好了，接下来，我们输入验证码来修改'admin'的密码吧

看到这个图，

 

我想大家都知道，

 

已经成功一大半了，

 

为什么说还有一小半没有成功呢？

 

因为我们还不敢确定是不是修改的'admin'的密码嘛

那么我们来把密码修改为：wooyun吧

 

(修改密码就是把上图需要改密码的修改成自己所要改的密码，这个大家都懂)

 

 

 

下图是密码修改完成的截图

 

好了，

 

密码也修改完成了，

 

那么接下来我们就能试下我们刚才修改的'admin'能否登陆吧（密码是wooyun）

 

 

OK，成功登陆啦。

 

 

下面来证明下上图的那个186的手机号码是和admin一致的：

 

 

修复方案： 1，url加密下

 

2，防止burp抓包 

 

查看更多关于新浪某站点修改任意用户密码 - 网站安全 - 自学的详细内容...