彩乐乐彩票网任意账号密码修改 - 网站安全 - 自

彩乐乐彩票网任意账号密码修改点击忘记密码

为了测试,我预先注册和绑定了下手机。

下图是成功修改 admin账号的证明

惊喜的是不需要填写手机号码,就可以发验证码，这网站问题貌似还挺多,验证码1点的时候发的，凌晨4点才收到验证码。因为验证码是四位的。用了 burp suite的Intruder功能暴力扫了一下验证码,貌似不行。然后想看看修改页面是form是什么样子的。。

明显的漏洞 ,提交的时候带上了用户名。也就是说把用户名改成你想要的,就可以修改密码了。用burp suite 拦截提交,然后修改account字段,再forward 就可以成功修改密码了这是改了admin账户的图

特意去看了下。都没绑定银行卡,也就是说我应该能提走那一块钱。。。

修复方案：

这个改起来不难吧,要是稍微重视一点安全业,就不会发生了。

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did15622

更新时间：2022-09-13 阅读：98次