鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 安全设置 > >

咕咚网设计缺陷导致任意用户密码可重置

来源:互联网 作者:佚名 时间:2015-09-05 07:49
咕咚网忘记密码找回功能涉及权限,导致在知道注册邮箱的情况下可以修改任意用户的密码。 第一步,点击忘记密码,会要求输入注册邮箱,输入点击找回密码会收到一份邮件 可以看到找回密码url是主要由邮箱和4位数字验证码构造而成,而且24小时有效。 下面用burps
咕咚网忘记密码找回功能涉及权限,导致在知道注册邮箱的情况下可以修改任意用户的密码。

第一步,点击忘记密码,会要求输入注册邮箱,输入点击找回密码会收到一份邮件
 
 
 



 
可以看到找回密码url是主要由邮箱和4位数字验证码构造而成,而且24小时有效。
 
 
 
下面用burpsuite访问抓包 intruder之!
访问找回密码url,抓包,发送到intruder,将验证码标记
生成4位数字随机组合字典文件,如图(测试随意添加了点):
 
 
然后开始,根据返回包的大小来判断是否成功!如图:
可以看到正确的包大小是10190.
 
知道注册邮箱地址就可以进行修改密码操作!
 
 
修复方案:

1,对找回密码URL增加时间限制,24小时太长;
 
2,对验证code用数字字母等组合,位数搞长点;
 
3,判断重置密码url中的邮箱,如果多次同一个邮箱做reset_password的请求,就进行限制!
 
网友评论
<