比比招标采购网任意密码重置漏洞
比比招标采购网任意密码重置漏洞 作者:0x80
任意密码重置漏洞
1、 漏洞描述:由于参数过滤不严,未有效验证用户的session,导致任意密码重置漏洞
漏洞地址:https://www.bibenet.com/protalUser/toForgetPwdStep3.htm?account=
详细过程:account参数是指向用户名
正常的忘记密码流程是:
https://www.bibenet.com/protalUser/toForgetPwdStep1.htm 这里需要输入11位手机号码
然后把step1改成step2
就发现绕过了输入的地方
https://www.bibenet.com/protalUser/toForgetPwdStep2.htm?account=XXX(这里拿我的手机号码作实验
然后再把step2改成step3,这样就绕过了限制
https://www.bibenet.com/protalUser/toForgetPwdStep3.htm?account=XXX(
以18817484041手机号码为例,我们只需要搭配step3页面,不用发送验证码,就可以修改他的密码
这里我修改为123456a
这个时候,提示密码修改成功,我们登陆看看
我们已经成功登陆进去
这个漏洞的原理是
https://www.bibenet.com/protalUser/toForgetPwdStep3.htm?account=XXX
其中account参数即为用户名,可任意修改所有的用户,绕过验证码限制
整改建议:对于用户session,cookie加已验证