记一次众测发现的任意用户修改密码

郑居中   ·   发表于 2025-01-03 11:48:13   ·   实战纪实

0x1 前言

某次众测,在测试过程中,发现平台在用户身份验证机制上的关键缺陷,导致仅需获取目标用户的用户名和手机号,即可实现任意用户密码的修改。这一问题显然暴露了平台在身份认证设计中的重大安全隐患。

这一漏洞的利用门槛相对较低,攻击者可以通过社会工程学或公开信息获取目标用户的基本信息,然后直接发起攻击,劫持用户账户。漏洞的影响不仅局限于个人隐私和账户安全,还可能对整个平台的核心业务和用户信任造成严重威胁

0x2 漏洞案列

通过fofa找到资产中的一个采购平台。

在修改密码处,需要身份验证码。

更多内容已被隐藏
Subject content you need to pay for watching (Click To Buy) Price:5 Gold
用户名金币积分时间理由
Track-魔方 100.00 0 2025-01-13 15:03:19 本月有效投稿一篇文章奖励 100
Track-魔方 600.00 8 2025-01-13 15:03:11 深度 200 普适 200 可读 200

打赏我,让我更有动力~

10 Reply   |  Until 8天前 | 301 View

老金爱吃饭
发表于 1个月前

感谢分享

评论列表

  • 加载数据中...

编写评论内容

小瑟斯
发表于 1个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

linsan
发表于 1个月前

感谢分享

评论列表

  • 加载数据中...

编写评论内容

jiale321
发表于 1个月前

感谢分享

评论列表

  • 加载数据中...

编写评论内容

vertex
发表于 1个月前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

伊理户水斗
发表于 27天前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

董柯岩
发表于 26天前

11

评论列表

  • 加载数据中...

编写评论内容

st2021
发表于 25天前

涨知识了

评论列表

  • 加载数据中...

编写评论内容

mhs99
发表于 10天前

主题

评论列表

  • 加载数据中...

编写评论内容

qiyuan
发表于 8天前

涨知识了

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2025 掌控者 All Rights Reserved.