漏洞标题 魔术时间网络主站任意用户密码重置 相关制造商 Mosh.cn 漏洞作者 过路人 提交时间 2016-05-11 18: 16 公共时间 2016-06-26 15: 20 漏洞类型 设计缺陷/逻辑错误 危险等级 在 自我评估等级 10 漏洞状态 制造商已确认 标签标签 逻辑错误 漏洞详细信息 屏幕截图中描述了原因:
涉及接口数据包: GET/fpw/checkphonestr?jsoncallback=jQuery1503677694161888212_1462959527306& phonestr=123333& phone=18999999999& _=1462959637206 HTTP/1.1 主持人: www.mosh.cn 接受: text/javascript,application/javascript,*/*; Q=0.01 X-requested-with: XMLHttpRequest 用户代理: Mozilla/5.0(Windows NT 6.1; WOW64)AppleWebKit/537.36(KHTML,与Gecko一样)Chrome/45.0.2454.101 Safari/537.36 Referer:http://www.mosh.cn/fpw Accept-Encoding: gzip,deflate,sdch Accept-Language: zh-CN,zh; q=0.8 Cookie: 连接:关闭 漏洞证明: 证明,截图中有描述:
修理计划: 版权声明:请注明出处。居民A @乌云