凡科网重置任意用户密码
凡科网,国内最大自助建站平台。最近闲时逛逛网站,无意间发现有几个网站都是用的凡科平台自助建站,自己申请了个账户体验了下,还是非常方便,在线可视化编辑网页。不过发现该平台存在漏洞,可修改任意用户密码。
1.访问 http://www.faisco.cn/password.jsp 使用email接收找回密码邮件,通过邮件连接进行修改密码,截取提交修改密码的http请求,修改cid,也就是用户ID,如图:
从上图可以看到修改成功,网页显示的账号还是我自己的,那是因为访问修改页面的时候get参数中没改,其实目标账号的密码已经修改成功了,我已经成功登陆目标账号,看漏洞证明!↓↓↓
修复方案:
加强权限验证。
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻