• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    逛网站修改任意账号密码

    时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

    注册,登陆,找回密码

    输入新密码

    涛涛电脑知识

     

    截断http的post数据

    修改userid为其他帐号的userid,直接f12在网站页面就能看到userid


     

    提交修改成功,其他帐号的密码被修改了

    批量修改危害很大,或者直接看别人登陆用户名的userid就可以自己改别人密码登陆
     

    修复方案:

    对每一个修改密码帐号设定一个随机token,还有找回密码邮件最好使用一次,密码问题这次好多网站都爆发了

  • 上一篇:苏宁易购会员中心某验证功能权限设计错误致短信炸弹
  • 下一篇:C-Panel Cross Site Scripting
    • 相关文章
    • 没有相关文章
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1