ThinkSNS修改任意账号用户名和密码（包括管理员）-自学php网

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] 由于某处修改未做判断，导致直接可以修改用户账号信息(包括管理员)更换邮箱激活-修改任何uid的邮箱-登陆-使用修改的那个邮箱找回密码由于index php?app=publicmod=Registeract=changeActivationE...

由于某处修改未做判断，导致直接可以修改用户账号信息(包括管理员)
更换邮箱激活->修改任何uid的邮箱->登陆->使用修改的那个邮箱找回密码

由于
index.php?app=public&mod=Register&act=changeActivationEmail&uid=10
此处修改未激活用户邮箱未做判断导致直接可以修改任意用户邮箱然后通过修改的邮箱->找回密码->劫持了他人用户账号

未做判断

之前注册的账号

模拟POST

修改成功

登陆找回密码

管理员什么的我在本地都没问题网上也应该不会有问题就没试了
修复方案：
大概应该是：

支持thinkSNS！越做越好

更多文章推荐