来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 佳品网某些逻辑流程中存在缺陷,导致可以修改任意用户密码,从而查看消费记录,个人住址等隐私信息,甚至进行消费等操作详细说明:最关键的找回密码流程处,在确认验证码的有...
|
佳品网某些逻辑流程中存在缺陷,导致可以修改任意用户密码,从而查看消费记录,个人住址等隐私信息,甚至进行消费等操作
详细说明:最关键的找回密码流程处,在确认验证码的有效性之后的第二步操作中并没有进一步验证数据的有效性,从代码黑盒就可以看出: 1 表单里不存在任何的未知字段,只需要填写ID即可修改成功 2 经过测试session里也不对这次会话有任何绑定,可随意修改成功并且直接登陆  修改数字ID之后可以随意进入他人账户  修复方案: 呵呵 作者 唐尸三摆手 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
