网上车市修改用户任意密码 - 网站安全 - 自学p

注册一个网上车市帐号，找回密码，打开所给的url

http://service.cheshi.com/user/resetpassword.php?user=********&email=**********%40163.com&salt=eb5f16&u=&c=

这个地址使用次数不限，最好限制下

 

使用该地址登陆，重置密码，查看post数据

 

 

修改post数据，email，salt，uid完全无关联，真不知道post了干嘛，这样知道用户名就能改密

 

然后post过去后给出更改成功提示

 

然后直接登陆，真正的修改任意用户密码

修复方案：

找回密码邮件地址最好只包含一个随即的token，找回密码时推送信息只需要包含重置的密码和确认密码和那个随机token，然后在数据库执行更新，之后也不要提示**用户，只需要提示密码已修改，随便找个电商的找回密码参考一下，或者直接发送新密码也可以，希望修复后不会再有 漏洞 ，

查看更多关于网上车市修改用户任意密码 - 网站安全 - 自学p的详细内容...