来源:wooyun/ f- X/ S1 ]! _
3322域名找回密码时可以重置任意用户的密码。
, U: `$ H2 i; p找回密码功能发送到email中的验证码和cookie中的一个值绑定,未和需要找回的用户名绑定,导致可用A邮箱中的验证码,验证找回任意用户。+ ]2 `4 @7 z4 {
找回密码时看了下,出现如图这么一个token,直觉告诉我,这个发过去的验证码和cookie绑定了. X4 F9 E n0 @+ L) v8 D
3322域名重置任意用户密码的漏洞| →『网络安全区』
1 I8 d5 M" p7 x# `6 Y' J. C于是,随便找了一个用户测试,先给我自己的账户发一个找回密码邮件,如图:8 o6 i5 ?% `% K- K6 ?7 H- ?- Y. A
3322域名重置任意用户密码的漏洞| →『网络安全区』
' h) x1 I, P/ f3 m
7 T4 d8 u& d& q2 [$ J/ }收到了,验证码是68673 d9 V% Z4 P6 r9 H+ K% G4 N
2 x5 E$ t% U5 O
然后找个测试目标,随便搜索一个,就你了:qq99330646.f3322.org,试了下用户名就是qq99330646,点找回,输入我邮箱里的那个验证码6867,验证通过,* b2 M# ~) E; }$ e# b" f# K
3322域名重置任意用户密码的漏洞| →『网络安全区』
6 U1 ]6 X+ p$ M7 |2 u输入新密码,然后进去
8 T/ I V4 R" m, Z4 z; @- u
7 K' u/ q8 I( _% {1 C/ A" R* I
3322域名重置任意用户密码的漏洞| →『网络安全区』
) D" L- M- g! z7 U4 v0 x
由于之前3322被别人拖过库,所以那些手机没验证过的用户,重置完密码,登陆上去的时候需要绑定手机才能登陆成功。8 N1 g# A7 i3 x% U
漏洞修复方案:找回密码功能发送的验证码和需要找回的用户名绑定。 |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
