网站地图    收藏   

主页 > 入门引导 > 黑客攻防 >

华为商城某处CSRF可修改安全邮箱 - 网站安全 - 自

来源:自学PHP网    时间:2015-04-15 15:00 作者: 阅读:

[导读] 此问题和去年的华为商城的漏洞 http: www 2cto com Article 201312 261576 html出在一个地方,但是添加 修改安全邮箱的接口变了,原来的是http: www vmall com member account sendEmail json,这次是http:...

此问题和去年的华为商城的漏洞 http://www.2cto.com/Article/201312/261576.html 出在一个地方,但是添加/修改安全邮箱的接口变了,原来的是http://www.vmall.com/member/account/sendEmail.json,这次是http://www.vmall.com/member/updateEmail.json,估计是更改接口时忘记更新安全问题了吧。。。而且这次直接是GET方式。。

原账户安全邮箱没有添加:

 

0.jpg



直接GET方式请求:

http://www.vmall.com/member/updateEmail.json?email=ckcidek@163.com
 

1.jpg



去到邮箱中,已收到邮件,直接访问该链接,即可成功重置邮箱
 

2.jpg



重置邮箱后,通过新邮箱即可找回密码,登录商城
 

6.jpg


 

5.jpg



重置后的安全邮箱处:
 

4.jpg

 

修复方案:

老问题了。。。

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论