记一次任意用户密码重置漏洞(session覆盖)

首先,注册用户(两个用户),我用我的小号,大号进行注册,过程方便就先省略

接下来两个号分别登录,登录完退出
(强迫症)

然后就去找密码重置的界面了在这里插入图片描述
在这里插入图片描述
第一个是被重置的帐户

然后分别发送邮件

注意!:第一个先发送,在发送第二个

在这里插入图片描述
在这里插入图片描述
可以看到,两个号都发送成功

接下来去第二个号的邮箱

在这里插入图片描述
点击这个链接之后出现页面,然后在url中修改qq,如下图

在这里插入图片描述

ok,输入密码和验证码后,提交之后:

在这里插入图片描述

good

登录

在这里插入图片描述

好了,漏洞验证成功,

sessio覆盖漏洞原理:
简单的说:就是第二次发送给服务端的session覆盖了第一次发送给服务端的session,从而通过了验证,造成漏洞

注:本文仅供学习和参考

发布了3 篇原创文章 · 获赞 0 · 访问量 14
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 1024 设计师: 上身试试

分享到微信朋友圈

×

扫一扫,手机浏览