51信用卡管家手机客户端任意用户密码修改漏
打开51信用卡管家手机客户端的找回密码功能 下面是手机短信得到的验证码
提交后抓包
提交的包里没有对重复提交作验证,直接爆破
4位数字验证码,太好爆破了
还可以通过邮箱,用户名等修改 修改后登入别人的账号,可以查看到别人的信用卡信息,所以危害比较大
修复方案:找回密码时加一个图形验证码或者加个submitToken参数
查看更多关于51信用卡管家任意用户密码修改 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15461