漏洞标题 Dudu Niu Baile bar密码重置漏洞/涉及279网吧在线用户数据安全 相关制造商 涂鸦牛 漏洞作者 易勋 提交时间 2016-06-14 17: 28 公共时间 2016-06-19 18: 20 漏洞类型 敏感信息披露 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构（公安部） 标签标签 涂鸦牛，密码重置 漏洞详细信息 补充 网址： http://**。**。**。**/login/login.jsp admin检查主管验证码所在的位置 1.我们选择管理员帐户admin来执行密码重置，源代码包含emailhi数据并尝试更改为自己的邮箱。 2.发送验证邮件并成功收到验证码 3.使用验证码将密码重置为111111并登录并查找是否存在超级控制密码。它仍在本地验证。所以我在admincheck.jsp的js脚本中找到了超级管理验证码009709。 4.输入超级管验证码并成功登录。 漏洞证明： 和主站在同一台服务器上 查询涉及279家网吧的所有互联网用户的个人隐私。现在有240,000人在线10: 18 修改网吧的到期时间，因为收费了嘟嘟声 初始化网吧所有者的密码。登录后，管理各种网吧，奖品，金豆，留言板，语言广播和查看在线客户的活动。金豆可以随时兑换电话费和Q币 修理计划： 本地验证已更改为网络验证 版权声明：请注明出处YI XUN @乌云