比比招标采购网任意密码重置漏洞

/ 783 次浏览/ 核心成员

 比比招标采购网任意密码重置漏洞     作者:0x80

任意密码重置漏洞

1、  漏洞描述:由于参数过滤不严,未有效验证用户的session,导致任意密码重置漏洞

漏洞地址:https://www.bibenet.com/protalUser/toForgetPwdStep3.htm?account=

详细过程:account参数是指向用户名

正常的忘记密码流程是:

https://www.bibenet.com/protalUser/toForgetPwdStep1.htm  这里需要输入11位手机号码

然后把step1改成step2

就发现绕过了输入的地方

https://www.bibenet.com/protalUser/toForgetPwdStep2.htm?account=XXX(这里拿我的手机号码作实验


 

然后再把step2改成step3,这样就绕过了限制

https://www.bibenet.com/protalUser/toForgetPwdStep3.htm?account=XXX


 

18817484041手机号码为例,我们只需要搭配step3页面,不用发送验证码,就可以修改他的密码

这里我修改为123456a


 

 


 

这个时候,提示密码修改成功,我们登陆看看


 

 


 

 

我们已经成功登陆进去

这个漏洞的原理是

https://www.bibenet.com/protalUser/toForgetPwdStep3.htm?account=XXX

其中account参数即为用户名,可任意修改所有的用户,绕过验证码限制

 

 

整改建议:对于用户sessioncookie加已验证


<< 上一篇

某厂商土豪金账号任意密码重置漏洞分享

下一篇 >>

漏洞预警:新浪某系统存在弱口令+SQL注入漏洞(泄漏大量用户敏感信息,包括身份证,银行卡信息)

相关文章