频道栏目
首页 > 安全 > 网站安全 > 正文

爱丽网某逻辑漏洞可导致他人手机号码被强制修改

2013-05-05 13:35:54            作者:小胖子
收藏   我要投稿

问题地点:爱丽团购。

 

存在问题:

 

1.用户绑定任意手机号。(爆破,不严重)

 

2.在用户A登录的情况下强制B用户绑定手机号为A的手机。

 

 

 

由于爱丽网密码找回在白帽子们的冲击下还是选择了邮箱找回,所以通过手机重置密码的愿望落空。邮箱的code码算法暂时没猜解出来,就挖了下这两个小问题。

 

 

 

1.burp下绑定任意手机号。

 

 

 

在绑定手机,获取验证码后得知,验证码为6位纯数字.

 

 

然后爆破参数.

 

 

 

瞎弄的手机号

 

这个缺陷不严重,但是最好还是修复,加上限制次数.

 

 

 

下面这个问题,就有点了,强制绑定别人的手机号为我们的,经测试会影响如到,如果此会员设定了默认收货人和地址,会影响到默认收货人的号码.

 

 

 

步骤:

 

1.登录自己的帐号,绑定一个自己的手机号,会在后台看到自己已经绑定的手机.

 

 

 

2.新增手机绑定.

 

在获取验证码后,填写手机验证码时,抓包修改UID。

 

然后提交。

 

3.会发现提示绑定成功。

 


 

4.然后发现自己账户原本绑定的手机号“被消失”。

 

5.登录UID对应账户,发现手机号“被绑定”,原先绑定的手机号“被消失”。

 

 

 


 

修复方案:

绑定手机验证码次数做限制,并且对绑定时候的UID进行比对,防止越权。

 


上一篇:A5某站SQL延时注入
下一篇:QQ空间某功能缺陷导致日志存储型XSS - 6
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站