意想不到的惊喜-某网站身份未授权漏洞
好久没登录的x网站忘记了密码,想着找回下结果发现了意向不到的惊喜。
正常逻辑下,当用户找回密码时会将找回地址发送到对应的邮箱中,然后通过邮件中的找回地址重新设置,
实际上发现邮箱并没有收到邮件,而是将找回信息直接暴露在网页上,可以直接通过上面的找回地址重置用户名的密码,按照此方式只要知道网站的已知用户邮箱就可以做到重置其他用户的密码了。
漏洞已反馈至网站负责人
分类:
标签:
web漏洞
版权申明
本文系作者 @cesii 原创发布在意想不到的惊喜-某网站身份未授权漏洞 - Cesii Blog。未经许可,禁止转载。
评论
文章目录
暂无目录
全部评论