[原]任意用户密码修改重置漏洞修复

  • A+
所属分类:安全文章

0x00 背景

密码修改功能常采用分步骤方式来实现,攻击者在未知原始密码的情况下绕过某些检验步骤修改用户密码。

重置密码过程一般是首先验证注册的邮箱或者手机号,获取重置密码的链接(一般会包含一串唯一的字符串)或者验证码,然后访问重置密码链接或者输入验证码,最后输入新密码。密码重置机制绕过攻击是指在未知他人的重置密码链接或手机验证码的情况下,通过构造重置密码链接或穷举手机验证码的方式直接重置他人的密码。

恶意攻击者可以利用漏洞攻击做到:

重置他人的密码;
利用他人的账号和密码进行恶意操作,如偷取金钱

作者:qq_29277155 发表于 2020/07/01 19:47:49 原文链接 http://www.hackdig.com/07/hack-99744.htm
阅读:9

本文来源于互联网:[原]任意用户密码修改重置漏洞修复

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: