漏洞标题 百度一站任意用户密码重置 相关制造商 百度 漏洞作者 非海绵宝宝 提交时间 2016-05-11 15: 09 公共时间 2016-06-25 15: 20 漏洞类型 设计缺陷/逻辑错误 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 逻辑错误 漏洞详细信息 http://mobojoy.baidu.com/dev/ 注册您自己的号码进行测试 检索密码单击以检索
查看包
将令牌记录为4573357947746199b72b9a1663176bad 此时,再次查看重置密码链接。 http://mobojoy.baidu.com/dev/?r=Member/forgetPasswordReset/email/我是邮箱马赛克/令牌/4573357947746199b72b9a1663176bad #http://mobojoy.baidu.com/affiliate/?r=Member/forgetPasswordReset/email/我是邮箱马赛克/令牌/d6fa5adea5c42c29e64cef32442cdaa0 很明显,您可以组合重置密码链接。 漏洞证明:
修理计划: 版权声明:请注明出处。非海绵宝宝@乌云