漏洞标题 资本航空公司应用任意密码重置+用户敏感信息(涉及100,000名空乘人员等) 相关制造商 首都航空 漏洞作者 过路人 提交时间 2016-04-27 17: 27 公共时间 2016-06-17 10: 10 漏洞类型 未经授权的访问/许可绕过 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 未经授权的敏感界面 漏洞详细信息 空中客车乘客由首都航空公司推出,爱好者交流互动应用:空洞
设计中存在许多问题 1,任何账号注册+任何用户密码重置 2,敏感信息泄露 3,未经授权的操作等 漏洞证明: 此应用手机验证码返回4位数,轻松捕获数据包爆破 注册任何帐户并重置任何用户密码
这个时候有一个问题,如何知道应用程序中许多美女的电话号码 别担心,维修站就在这里。 去查看您最喜欢的妹妹的帐户活动,返回包自然包含她的电话号码,这是她的帐号。
个人认为没有必要重置该人的密码。 。 注意,用b账号登录然后关注账号,更改相应的ID,让所有空姐都注意你 操作过度
修理计划: 验证码六 敏感信息脱敏 权力过大 版权声明:请注明出处。居民A @乌云