任用账号密码重置漏洞

admin 2025年5月26日11:16:23评论25 views字数 404阅读1分20秒阅读模式
这个是三年之前挖掘到的漏洞,目前网站进行重构做了全新的改版,但是这个漏洞特别经典,也是我挖掘到的第一个逻辑漏洞,拿出来进行分享。看到src上面的很多敏感信息泄露,所以自己也想找一个敏感信息泄露,官网如图:任用账号密码重置漏洞发现在下面有一个数字校园入口,就想着看看登陆处有没有sql注入、js信息泄露等任用账号密码重置漏洞发现有两个功能,忘记密码&&账号查询先看账号查询任用账号密码重置漏洞通过身份证号可以查询出职工号来,这里如果用爆破,应该可以爆破出对应的学号以及身份证号看一下加载的js文件任用账号密码重置漏洞这里很奇怪,第一次试着访问这个接口任用账号密码重置漏洞但并不知道id所代表的参数信息于是回到之前的界面,点击忘记密码任用账号密码重置漏洞在网上百度了一个学号作为测试任用账号密码重置漏洞看一下此时加载的js文件任用账号密码重置漏洞访问此时的接口任用账号密码重置漏洞试着加上刚刚查到的学号任用账号密码重置漏洞Interesting~可以看看之前的那个接口+学号任用账号密码重置漏洞任用账号密码重置漏洞任用账号密码重置漏洞密码修改为:654321a任用账号密码重置漏洞尝试登陆了一下账号:318051335密码:654321a任用账号密码重置漏洞

原文始发于微信公众号(锐鉴安全):任用账号密码重置漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日11:16:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   任用账号密码重置漏洞https://cn-sec.com/archives/4097822.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息