某网session覆盖导致重置密码漏洞

发布于 / 中文文章 / 0 条评论

准备两个手机号:
(自己的号)130229364xx 密码:[email protected] id:m6454245
某网session覆盖导致重置密码漏洞

(要重置的目标账号)184821348xx 密码:[email protected] id:m4828472

来到重置密码界面:
输入手机号130229364xx,正常步骤到设置新密码:

然后在此浏览器中另外一个标签打开另外一个重置密码的页面:
输入手机号184821348xx:

填写验证码,然后下一步,这儿就不管了。
再回到之前130229364xx填写新密码的地方,填写密码[email protected]。此时显示重置的是账号m6454245
某网session覆盖导致重置密码漏洞

点击确定:可以看到,重置的账号为m4828472:

转载原创文章请注明,转载自: Pikachu Hacker » 某网session覆盖导致重置密码漏洞
Not Comment Found