昨日下午14:21分,有匿名的白帽子提交了一个聚美优品的任意密码修改漏洞,通过此漏洞可以重置任何用户的密码,仅仅两小时后聚美优品官方修复了这个漏洞并公开了细节(给力厂商,赞个),下面我们一起来看看这个漏洞。
根据白帽子的描述,首先我们要发送一封找回密码的邮件给自己。
不要点击邮件里的链接
再发送找回密码的邮件给要修改的账户邮箱。当然这封邮件我们是看不到的了。
但是当我们点击刚才收到的链接,神奇的事情发生了,我们居然修改了后者的密码。
根据小编的分析,每当我们发送一封找回密码的邮件,程序会在COOKIE或者SESSION里设置一个标记,表示我们下面修改的将是这个人的密码。但是程序并没有判断当前找回密码的url属于哪个用户,造成任何的找回密码url都能修改当前COOKIE或者SESSION里标记的人的密码,最终形成了这个任意密码修改漏洞。
这个比较罕见的案例又给白帽子们增加了挖掘漏洞的思路啊~同时也提醒了广大程序猿,有时候一个想当然的逻辑可能会引发很严重的后果哦~
