来源:自学PHP网 时间:2015-04-17 12:00 作者: 阅读:次
[导读] 百酷网修改任意用户密码,米有多少技术含量,大神莫喷,现在厂商貌似已经修复了,所以当你看到这个漏洞的时候,差不多已经失效了,囧。90博客版权所有,转载请注明。漏洞说明...
|
百酷网修改任意用户密码,米有多少技术含量,大神莫喷,现在厂商貌似已经修复了,所以当你看到这个漏洞的时候,差不多已经失效了,囧。90博客版权所有,转载请注明。 漏洞说明: 百酷网要手机号才能注册,然后找回密码的机制就是给手机号发送一个验证码,问题产生了。由于发送的是6位随机数字,且不限制验证次数和验证IP,于是就可以暴力破解验证码,从而修改用户的密码。因为涉及到手机号,想要获取大量手机号也不是什么难事,又因为涉及到RMB,所以危害也算比较大。 漏洞过程: 首先找回密码,然后会给手机号发送6位随机数验证码,提交抓包。
只是简单的数字校验,于是可以用暴力破解,100线程,爆破也用不了多少时间。
输入正确的验证码,即可修改密码。
漏洞修复:
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
