畅途网手机找回密码漏洞和ddos邮件服务器问题及修复

楼主^#

更多发布于：2013-01-18 14:59

[] 1


	试了一下，2个地方有漏洞，还有一个设计问题，不验证的用户是不能通过邮件找回密码，如果业务上不验证的用户也可以下单，那就是一个很大的业务权限，用户忘记密码且消费后根本无法找回密码首先登陆首页，看到找回密码，看到了手机找回，就想到了暴力破解，结果一看get方式，以为没戏，就先试试图片：20130118105852924.jpg 选择自己的手机号发送验证码，随便输入个验证码，查看post信息，截断图片：20130118105852272.jpg 暴力破解验证码，返回了一个成功的信息图片：20130118105852960.jpg 因为之前用其他手机号找回过密码，get的地址就保存了下来，统一地址，在爆破成功后使用该地址登录，尝试修改密码图片：20130118105852136.jpg 点击确定，结果成功了，再打开这个也没，再修改，再提交，又成功了图片：20130118105853494.jpg 确定get方式只要一次输对验证码后就能使用这个get地址漏洞证明：然后再看看邮箱找回密码问题，试了一下，没问题，但想起我发了很多的ddos邮件服务器，剑心对这个不太重视，之后我会提交一个详细说一下这个的危害性，人家都可以吧这个写论文呢好了，打开页面图片：20130118105853550.jpg 页面上只能发一次，但我可以用post嘛图片：20130118105853876.jpg 没用burp，burp直接参数化numbers就可执行ddos攻击，接着查看邮箱吧，之前已经设置黑名单，不想收太多垃圾邮件了图片：20130118105854778.jpg 修复方案：问题1的修复方案我感觉还是post比较好，除非你get真的逻辑没有漏洞问题2的修复方式就是限制同一邮箱每天发送次数