输入新密码
涛涛电脑知识网
截断http的post数据
修改userid为其他帐号的userid,直接f12在网站页面就能看到userid
提交修改成功,其他帐号的密码被修改了
批量修改危害很大,或者直接看别人登陆用户名的userid就可以自己改别人密码登陆
修复方案:
对每一个修改密码帐号设定一个随机token,还有找回密码邮件最好使用一次,密码问题这次好多网站都爆发了
输入新密码
涛涛电脑知识网
截断http的post数据
修改userid为其他帐号的userid,直接f12在网站页面就能看到userid
提交修改成功,其他帐号的密码被修改了
批量修改危害很大,或者直接看别人登陆用户名的userid就可以自己改别人密码登陆
修复方案:
对每一个修改密码帐号设定一个随机token,还有找回密码邮件最好使用一次,密码问题这次好多网站都爆发了