百度某站任意用户密码重置
漏洞标题 百度某站任意用户密码重置 相关厂商 百度 漏洞作者 子非海绵宝宝 提交时间 2016-05-11 15:09 公开时间 2016-06-25 15:20 漏洞类型 设计缺陷/逻辑错误 危害等…
漏洞标题
百度一站任意用户密码重置
相关制造商
百度
漏洞作者
非海绵宝宝
提交时间
2016-05-11 15: 09
公共时间
2016-06-25 15: 20
漏洞类型
设计缺陷/逻辑错误
危险等级
高
自我评估等级
20
漏洞状态
制造商已确认
标签标签
逻辑错误
漏洞详细信息
http://mobojoy.baidu.com/dev/
注册您自己的号码进行测试
检索密码单击以检索
查看包
将令牌记录为4573357947746199b72b9a1663176bad
此时,再次查看重置密码链接。
http://mobojoy.baidu.com/dev/?r=Member/forgetPasswordReset/email/我是邮箱马赛克/令牌/4573357947746199b72b9a1663176bad
#http://mobojoy.baidu.com/affiliate/?r=Member/forgetPasswordReset/email/我是邮箱马赛克/令牌/d6fa5adea5c42c29e64cef32442cdaa0
很明显,您可以组合重置密码链接。
漏洞证明:
修理计划:
版权声明:请注明出处。非海绵宝宝@乌云
查看包
将令牌记录为4573357947746199b72b9a1663176bad
此时,再次查看重置密码链接。
http://mobojoy.baidu.com/dev/?r=Member/forgetPasswordReset/email/我是邮箱马赛克/令牌/4573357947746199b72b9a1663176bad
#http://mobojoy.baidu.com/affiliate/?r=Member/forgetPasswordReset/email/我是邮箱马赛克/令牌/d6fa5adea5c42c29e64cef32442cdaa0
很明显,您可以组合重置密码链接。
漏洞证明:
修理计划:
版权声明:请注明出处。非海绵宝宝@乌云
- 发表于 2016-07-17 08:00
- 阅读 ( 503 )
- 分类:黑客技术
