好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

酷狗任意用户密码重置 - 网站安全 - 自学php

1,先注册个用户测试,正常登录时点忘记密码,选择邮箱找回密码得到重置密码连接

 

 

http://HdhCmsTestkugou测试数据/newuc/user/resetpwd/code=EE0544XXXXX4CEBB2E41E56C8E0A6413E43FA3FC19B9E0109DC39CD44C7690639226405CB880FC5C514494DB1424138BBEE12128F8DFFA51BE00B1B03EDFAF2CF5939DF58D006AD7B87D360C02F506673E30A239B3E70E7D4D1C7A3221E867004F138738844FED20CB18DCB38C9394AAXXXXXXX3909CAE

 

2,选定一个目标用户,用户名为(123),登录时依然点忘记密码,在找回密码处填写目标用户名123,然后下一步。

 

 

3,选择邮箱找回,点立即发送,并抓包。

 

抓包得到:

 

 

 

 

的密码了。组合得到:

 

5,重置密码后登陆:

 

 

 

修复方案: 权限验证  

 

查看更多关于酷狗任意用户密码重置 - 网站安全 - 自学php的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15026
  阅读:66次

上一篇: BugFree任意文件上传 - 网站安全 - 自学php

下一篇:UC浏览器跨本地域XSS可盗取任意域Cookie - 网站安