网站地图    收藏   

主页 > 入门引导 > 黑客攻防 >

彩乐乐彩票网任意账号密码修改 - 网站安全 - 自

来源:自学PHP网    时间:2015-04-15 15:00 作者: 阅读:

[导读] 彩乐乐彩票网任意账号密码修改点击忘记密码为了测试,我预先注册和绑定了下手机。下图是成功修改 admin账号的证明惊喜的是不需要填写手机号码,就可以发验证码,这网站问题貌似还挺...

彩乐乐彩票网任意账号密码修改
点击忘记密码

为了测试,我预先注册和绑定了下手机。

下图是成功修改 admin账号的证明

惊喜的是不需要填写手机号码,就可以发验证码,这网站问题貌似还挺多,验证码1点的时候发的,凌晨4点才收到验证码。



因为验证码是四位的。用了 burp suite的Intruder功能 暴力扫了一下验证码,貌似不行。

然后想看看修改页面是form是什么样子的。。

明显的漏洞,提交的时候带上了 用户名。也就是说把用户名改成你想要的,就可以修改密码了。



用burp suite 拦截提交,然后修改account字段,再forward 就可以成功修改密码了



这是改了admin账户的图

特意去看了下。都没绑定银行卡,也就是说我应该能提走那 一块钱。。。

修复方案:

这个改起来不难吧,要是稍微重视一点安全业,就不会发生了。
 

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论