来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 电话订餐手机验证码可绕过,致用户真实信息泄露及其他问题。这里不能说的太细,,那个,以后别涨价了,太贵了,,详细说明:订餐页面,选择曾成功电话订餐,输入手机号,点发...
|
电话订餐手机验证码可绕过,致用户真实信息泄露及其他问题。这里不能说的太细,,
那个,以后别涨价了,太贵了,, 详细说明: 订餐页面,选择曾成功电话订餐,输入手机号,点发送验证码,正常流程是该手机号收到验证码,但是,burp抓包会发现,验证码返回到客户端了。于是,验证码形同虚设,输入验证码,可看到该手机号的订餐地址,真实的。  漏洞证明:  造成2个后果: 1,客户真实信息泄露 2,如果mc跟你捣乱,替客户下订单。。。。损失的可是真金白银,所以rank我给高些。 修复方案: 那个, 1,这个验证码不能发到客户端去, 2,缩短有效时间, 3,限制提交间隔,防暴力破解。 这么详细,哥可真是正儿八经的白帽子! 作者:unic02n |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
