得知互动

标题: 3322域名重置任意用户密码的漏洞| →『网络安全区』 [打印本页]

作者: kjeittccdf 时间: 2015-3-28 01:40
标题: 3322域名重置任意用户密码的漏洞| →『网络安全区』
来源：wooyun
3322域名找回密码时可以重置任意用户的密码。
找回密码功能发送到email中的验证码和cookie中的一个值绑定，未和需要找回的用户名绑定，导致可用A邮箱中的验证码，验证找回任意用户。
找回密码时看了下，出现如图这么一个token，直觉告诉我，这个发过去的验证码和cookie绑定了
(, 下载次数: 13)
于是，随便找了一个用户测试，先给我自己的账户发一个找回密码邮件，如图：
(, 下载次数: 3)

收到了，验证码是6867

然后找个测试目标，随便搜索一个，就你了：qq99330646.f3322.org,试了下用户名就是qq99330646，点找回，输入我邮箱里的那个验证码6867，验证通过，
(, 下载次数: 6)
输入新密码，然后进去

(, 下载次数: 4)
由于之前3322被别人拖过库，所以那些手机没验证过的用户，重置完密码，登陆上去的时候需要绑定手机才能登陆成功。
漏洞修复方案：找回密码功能发送的验证码和需要找回的用户名绑定。

作者: kwjvtwzx 时间: 2015-7-2 12:57
貌似我真的很笨????哎

作者: 亮凌庚 时间: 2015-7-2 12:58
我也不知道了~~你把我问蒙了呵呵

作者: swmozowtfl 时间: 2015-7-2 12:58
估计你是没见识过~` 呵呵

作者: 亮凌庚 时间: 2015-7-2 13:01
小手一抖，经验到手！手拿酱油，低头猛走！酱油党路过，杜绝零回复

作者: 亮凌庚 时间: 2015-7-2 13:17
@,@..是什么意思呀？

作者: Acropozelan 时间: 2015-12-26 18:46
阿额~~~这些人都疯特勒~~~~~

作者: GoodyFouppy 时间: 2015-12-26 18:47
呵呵~~~~你怎么老这样说~~~

作者: Acropozelan 时间: 2015-12-26 18:47
什么啊

作者: Mqokjdvq 时间: 2015-12-26 18:47
哈你逗逗他啊

欢迎光临得知互动 (https://bbs.dezhifl.com/)