作者:李普君,
- 作者:@fenggou
- 编辑:@李普君
- 漏洞作者:フ天天好心情
- 相关厂商:彩票宝
- 漏洞编号:
WooYun-2014-051300 - 漏洞影响:黑客可非法重置该网站任意用户的密码
- 很多网站的安全机制居然在采用「障眼法」,认为用户中看不到,也就安全了。但事实上呢?来看看这次的安全案例,某彩票站点密码取回处。
- 正常流程取回某用户的密码的帐号密码,然后直接按下「F12」键,或者查看网页源代码,等等!我看到了什么?!
- 虽然程序中要求手机验证码防可重置,但查看源码会发现这个站竟然把帐号的一些关键操作放在了页面中,而且无需验证,仅仅依靠「display:none」在页面中隐藏而已,我们把它删除后熟悉的界面出来了 :D
- done,现在我们不需要验证码一样重置了密码。
一切「输入」都是不可信的。这么低级的漏洞,耽误了别人中奖可不好。
———————————————
发自知乎专栏「
乌云君」
转载请注明:微图摘 » 这程序员肯定跟老板有仇:记一次密码找回
