由于某些逻辑的设计中存在缺陷，攻击者可以修改任意其他用户的密码，从而完全控制其他用户的账户，查看详细住址，电话，订单记录等敏感信息，甚至进行其他的消费操作
详细说明：
使用目标邮箱找回密码，这里写我的测试账号
 
 


 
注意其中的关键逻辑 www.2cto.com
 
http://www.vipshop.com/account/password.php?act=step1_1&sess=37RH%2FtIcJ10k6yDePpel4TkSy4qjayXDn2VWybxgyns%3D
 
 
step1_1是不是表示找回密码的步骤呢，这样我们可以尝试直接进入后面的逻辑
 
 
 
 
还真可以呢，注意那个sess似乎是代表了我们的身份，是唯一的，这里程序都替我们生成好了，最后修改密码
 
 

修复方案：
你懂得

作者 唐尸三摆手