户外资料网任意用户密码重置漏洞

漏洞 作者:Chloe
2015-05-17 357
漏洞标题 户外资料网任意用户密码重置漏洞
相关厂商 8264.com
漏洞作者 爱小菜
提交时间 2013-10-28 17:12
公开时间 2014-01-23 17:13
漏洞类型 SQL注射漏洞
危害等级
自评Rank 12
漏洞状态 漏洞已经通知厂商但是厂商忽略漏洞
Tags标签 任意用户密码重置

漏洞详情

户外资料网(www.8264.com)任意用户密码重置漏洞的形成是由于该网站采用了用户权限集成功能(例:UC-Center)类似于一个通行证方式对用户权限进行验证,只要任意采用该方式验证的站点受到威胁,即可对所有站点的用户信息构成威胁,因此在这种架构中要格外注意各平台安全。

漏洞证明:

密码重置演示图

1.jpg

重置后的效果截图

2.jpg

修复方案:

1. 升级存在高危漏洞的网站程序,对用户重置密码操作设置一些限制条件,从而杜绝此类情况再次产生。

2. 采用通行证架构的网站群中,要格外注意每个网站的安全性,从而杜绝此类情况再次发生。

版权声明:转载请注明来源 爱小菜@乌云

Tags:

评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38566 积分: 0

关注我们

合作伙伴