PPS逻辑错误导致可重置他人账户密码(爱奇艺中枪-自学php网

来源：自学PHP网时间：2015-04-15 14:59 作者：阅读:次

[导读] 第一次在这个位置发现此类问题，以PPS官方账户webid@web02 ppstream com为例1、进行密码重置操作2、以往进行到这步，马上登录邮箱查看密码重置链接是否存在缺陷，这次在重发发送时进行截...

第一次在这个位置发现此类问题，以PPS官方账户webid@web02.ppstream.com为例

1、进行密码重置操作

2、以往进行到这步，马上登录邮箱查看密码重置链接是否存在缺陷，这次在“重发发送”时进行截包

3、发现传递了email参数，尝试进行篡改，将email改成自己的邮箱地址

4、发送成功，登录邮箱，发现收到了重置密码邮件

5、由于百度将PPS、爱奇艺进行了整合，PPS、爱奇艺账户可以互通，（百度账户也可以直接登录PPS、爱奇艺，但是单向的）。

6、使用此账户可以登录PPS、爱奇艺大部分平台

修复方案：
账户关联登录很方便，也很危险！

更多文章推荐