漏洞标题 资本航空公司应用任意密码重置+用户敏感信息（涉及100,000名空乘人员等） 相关制造商 首都航空 漏洞作者 过路人 提交时间 2016-04-27 17: 27 公共时间 2016-06-17 10: 10 漏洞类型 未经授权的访问/许可绕过 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 未经授权的敏感界面 漏洞详细信息 空中客车乘客由首都航空公司推出，爱好者交流互动应用：空洞 设计中存在许多问题 1，任何账号注册+任何用户密码重置 2，敏感信息泄露 3，未经授权的操作等 漏洞证明： 此应用手机验证码返回4位数，轻松捕获数据包爆破 注册任何帐户并重置任何用户密码 这个时候有一个问题，如何知道应用程序中许多美女的电话号码 别担心，维修站就在这里。 去查看您最喜欢的妹妹的帐户活动，返回包自然包含她的电话号码，这是她的帐号。 个人认为没有必要重置该人的密码。 。 注意，用b账号登录然后关注账号，更改相应的ID，让所有空姐都注意你 操作过度 修理计划： 验证码六 敏感信息脱敏 权力过大 版权声明：请注明出处。居民A @乌云