佳品网某些逻辑流程中存在缺陷,导致可以修改任意用户密码,从而查看消费记录,个人住址等隐私信息,甚至进行消费等操作
详细说明:最关键的找回密码流程处,涛涛电脑知识网,在确认验证码的有效性之后的第二步操作中并没有进一步验证数据的有效性,从代码黑盒就可以看出:
1 表单里不存在任何的未知字段,只需要填写ID即可修改成功
2 经过测试session里也不对这次会话有任何绑定,涛涛电脑知识网,可随意修改成功并且直接登陆
修改数字ID之后可以随意进入他人账户
修复方案:
呵呵
作者 唐尸三摆手