查看: 2351|回复: 25

驴妈妈旅游网任意找回其他用户密码缺陷及修复

[复制链接]
发表于 2012-10-6 07:31:36 | 显示全部楼层 |阅读模式
该网站找回密码链接随机字段过于简单,可通过扫描得到其他用户找回密码的链接并修改该用户的密码,而后可直接登陆该用户账户。
找回密码随机字段过于简单




通过扫描以下得到的字段均可修改密码,并登录。。


找回密码页面直接显示了用户邮箱。


修复方案:

增强密码找回随机字段强度,最重要的是不要在密码找回页面显示用户的邮箱或用户名。
发表于 2014-10-18 03:42:33 | 显示全部楼层
我来看看!谢谢  
发表于 2014-10-20 06:54:58 | 显示全部楼层
应该加分  
发表于 2014-10-27 02:06:30 | 显示全部楼层
挤在北京,给首都添麻烦了……  
发表于 2014-11-6 12:45:02 | 显示全部楼层
你喜欢贴子还是发贴子的人  
累坏了 该用户已被删除
发表于 2014-11-18 22:05:13 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-12-6 17:02:05 | 显示全部楼层
初来乍到,请多多关照。。。  
发表于 2014-12-29 20:58:18 | 显示全部楼层
@,@..是什么意思呀?  
发表于 2015-1-29 17:57:05 | 显示全部楼层
加油啊!!!!顶哦!!!!!支持楼主,支持你~  
发表于 2015-3-4 01:00:31 | 显示全部楼层
加油啊!!!!顶哦!!!!!  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则