神刀安全网

51汽车网任意用户密码修改漏洞

简要描述:

51汽车网任意用户密码修改漏洞

详细说明:

51汽车网通过找回密码,可以修改任意用户登录密码

漏洞证明:

51汽车在注册页面可以批量扫号

以下是扫出来的一个号,只做测试用

51汽车网任意用户密码修改漏洞

通过手机找回密码

51汽车网任意用户密码修改漏洞

通过手机找回密码,跳过验证环节,在发送验证码处,拦截请求,修改成自己手机号

51汽车网任意用户密码修改漏洞

输入收到的验证码,提交

51汽车网任意用户密码修改漏洞

修改成功

51汽车网任意用户密码修改漏洞

登录看看

51汽车网任意用户密码修改漏洞

修复方案:

服务端验证

版权声明:神刀安全网转自 忽然之间@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 51汽车网任意用户密码修改漏洞

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮