好久没登录的x网站忘记了密码,想着找回下结果发现了意向不到的惊喜。
正常逻辑下,当用户找回密码时会将找回地址发送到对应的邮箱中,然后通过邮件中的找回地址重新设置,
实际上发现邮箱并没有收到邮件,而是将找回信息直接暴露在网页上,可以直接通过上面的找回地址重置用户名的密码,按照此方式只要知道网站的已知用户邮箱就可以做到重置其他用户的密码了。
漏洞已反馈至网站负责人
好久没登录的x网站忘记了密码,想着找回下结果发现了意向不到的惊喜。
正常逻辑下,当用户找回密码时会将找回地址发送到对应的邮箱中,然后通过邮件中的找回地址重新设置,
实际上发现邮箱并没有收到邮件,而是将找回信息直接暴露在网页上,可以直接通过上面的找回地址重置用户名的密码,按照此方式只要知道网站的已知用户邮箱就可以做到重置其他用户的密码了。
漏洞已反馈至网站负责人