主机屋可任意修改其他用户密码漏洞 - 网站安全

任意修改他人密码

首先我们要在主机屋上注册一个帐号并且绑定邮箱

之后来到首页找到忘记密码功能  

在这里填写我们注册的帐号 然后点击下一步  

随后到邮箱接收验证码并填写到这里 现在上burpsuite  

这里是我注册的帐号 我把它修改为目标帐号annann(这是WOOYUN上的主机屋另一个 漏洞 截图里的管理员帐号)  

提示身份验证成功  

但还没完 输入新密码后继续burpsuite  

这里依然把我们的帐号改为annann  

修改密码成功  

修复方案：

洞主高三狗 大中午跑网吧就为了提交这个漏洞 跪求别忽略

查看更多关于主机屋可任意修改其他用户密码漏洞 - 网站安全的详细内容...