【转】http://blog.csdn.net/zaqwescsdn/article/details/46559171
1.伪造请求(未注册的情况下)
在请求密码修改的过程中,修改账号的手机或邮箱等联系方式,在接受到验证码后进行密码修改。12
OPPO修改任意帐号密码-2
OPPO修改任意帐号密码-3
修改了接受密码手机,并且通过对账户类型的修改绕过边界。
2.使用正常账户请求修改获取token
1. 爆破(绕过次数验证)12
当当网任意用户密码修改漏洞
原因:验证码过于简单,并且没有对请求修改次数做出限制。
微信任意用户密码修改漏洞
原因:虽然设置了请求阀值,但被猜解除了验证方式,病找到了绕过方式,验证码为4-5位的数字容易爆破
2. 猜解12
奇虎360任意密码修改
原因:使用了特定值的加密作为token,被猜解到使用了时间戳的MD5值。在实际过程中我们也可以尝试用户名,手机,邮箱,等等的不同加密方式。
3. 在客户端寻找token信息12
走秀网秀团任意密码修改缺陷
原因:没有严格控制token,在返回的url中发现token信息
sohu邮箱任意用户密码重置
原因:找回密码问题的答案在页面源码中可以看到……
3.通过验证提交修改请求时存在的漏洞
在请求过程中修改用户uid12
身份通任意密码修改-泄漏大量公民信息
携程旅行网任意老板密码修改(庆在wooyun第100洞)
原因:没有管理好token和用户间一对一的关系,导致在最后提交请求的过程中修改了uid导致任意用户密码重置。
4.边界绕过特殊案例
网易邮箱可直接修改其用户密码
过程:注册过程的绑定手机页面用过参数修改,将任意账号绑定至可控手机,在通过密码找回流程找回
以上资料均来自乌云知识库~
将回答密码找回问题的参数删除,服务端竟然通过了
重置密码时填入其他人的ID
重置密码时填入其他人的手机号
重置密码时填入其他人的邮箱
发送重置密码验证码时填入自己的手机号
发送重置密码链接时填入自己控制的邮箱
进入密码重置流程,获取cookie之后,将需要重置的目标账号等信息填写为其他人的
进入密码重置流程,获取cookie之后,可直接访问密码修改链接
进入密码重置流程,获取验证码之后,通过走别人的密码重置流程,用来重置别人的密码
重置密码过程中,修改步骤(stop)参数,绕过校验,直接进入系统
前端做校验,直接拦包修改服务端返回码即可绕过
用别人的账号重置密码,修改服务端返回的手机号为自己的手机号,使得自己接收到验证码
重置账号输入点存在SQL注入
用自己的账号进行重置密码,在收到正确cookie后,将标识用户账号的参数改写为其它人的账号
【覆盖】注册一个和现有用户名一样的用户,直接把密码改了,信息却还是老用户的
同一浏览器内,用户A走重置密码流程到接收到重置密码链接,用户B走重置密码流程到接收到重置密码链接,用户A点击重置密码链接,进入到对用户B的密码重置流程
验证码为4至6位数字,爆破
验证码直接在链接里出现
重置密码用的加密串不用验证就能获得,在输入验证码前就可以得到
找回密码的答案竟然在HTML里返回了
手机验证码竟然直接返回给了浏览器
重置密码认证信息用时间戳md5运算后做token,用两个账号走重置密码流程做对比可以发现该漏洞
【绑定手机】通过修改链接中的uid将其他人的密码找回手机绑定成自己的手机
越权修改其他人的密码找回手机