当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130363

漏洞标题:我爱购物网存在任意重置用户密码漏洞

相关厂商:55bbs.com

漏洞作者: 孤梦°

提交时间:2015-07-30 08:26

修复时间:2015-08-04 08:28

公开时间:2015-08-04 08:28

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-30: 细节已通知厂商并且等待厂商处理中
2015-08-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

我爱购物网存在任意重置用户密码漏洞
找回密码地址:http://my.55bbs.com/lostpasswd/

详细说明:

我爱购物网存在任意重置用户密码漏洞
找回密码地址:http://my.55bbs.com/lostpasswd/
现在我们来重置admin的密码
第一步打开找回密码地址填写用户名 然后点击下一步

1.png


第二步修改url连接 把2更换成6 填写你的找回密码接受邮箱即可

2.png


填写你的接受找回密码的邮箱接受邮件 即可更换他的邮箱为你的

3.png



打开找回密码的链接即可重置密码

4.jpg


5.png


现在我们来重置admin的密码

6.jpg


7.jpg


ok 漏洞就是这样 给点礼物吧

漏洞证明:

同上面一样

修复方案:

ok 漏洞就是这样 给点礼物吧 影响极大啊 你们我爱购物网不太安全啊
修复url跳转和逻辑问题吧

版权声明:转载请注明来源 孤梦°@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-04 08:28

厂商回复:

漏洞Rank:8 (WooYun评价)

最新状态:

暂无