某证书站档案馆服务逻辑漏洞

1708qq_com   ·   发表于 2024-11-12 09:01:18   ·   漏洞文章

访问该学校的域名,找到一个档案管档案服务的网站,登录框如下:



通过猜测登录账号和密码,学号/学号,学号/身份证后六位,学号/123456,手机号/123456

这里成功通过学号/学号,成功登录后台

点击忘记密码处,发现重置密码,无需校验原来的密码,就是直接输入就是:

新密码—》新密码,正常情况应该是旧密码—》新密码—》新密码

bp抓到数据包

更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:5 金币
用户名金币积分时间理由
Track-魔方 300.00 0 2024-11-14 15:03:31 本月累计有效投稿3篇文章奖励 300
Track-魔方 500.00 8 2024-11-14 15:03:23 深度 100 普适 200 可读200

打赏我,让我更有动力~

3 条回复   |  直到 3天前 | 182 次浏览

1708qq_com
发表于 1个月前

已修改

评论列表

  • 加载数据中...

编写评论内容

小瑟斯
发表于 1个月前

学习了

评论列表

  • 加载数据中...

编写评论内容

羽义
发表于 3天前

666

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.