神刀安全网

和讯网理财客设计不当可修改任意用户登录密码与交易密码

简要描述:

和讯网理财客修改任意用户登录密码,交易密码

详细说明:

和讯网理财客修改任意用户登录密码,交易密码

上次给你们提交了一个漏洞,只给了15rank,有点不科学,你们的库就一个,找回密码漏洞是通用的

希望和讯网继续努力

和讯网理财客看着还不错,等你们漏洞修复好了,我来买点

漏洞证明:

通过批量扫描可以扫到你们所有的注册用户,简单了扫了一个,试一下(通知你们客户改一下密码吧,只做测试用)

和讯网理财客设计不当可修改任意用户登录密码与交易密码

通过手机找回密码,拦截请求,修改成自己手机号

和讯网理财客设计不当可修改任意用户登录密码与交易密码

输入自己收到的验证码,提交

和讯网理财客设计不当可修改任意用户登录密码与交易密码

修改成功

和讯网理财客设计不当可修改任意用户登录密码与交易密码

登陆一下

和讯网理财客设计不当可修改任意用户登录密码与交易密码

修改交易密码,方法类似,拦截请求,修改成自己手机号

和讯网理财客设计不当可修改任意用户登录密码与交易密码

输入自己收到的验证码,提交,修改成功

和讯网理财客设计不当可修改任意用户登录密码与交易密码

修复方案:

服务端做好验证

版权声明:神刀安全网转自 忽然之间@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 和讯网理财客设计不当可修改任意用户登录密码与交易密码

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮