漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某软件有限公司用户任意密码重置
提交时间:2015-03-23 14:16
修复时间:2015-03-28 14:18
公开时间:2015-03-28 14:18
漏洞类型:网络设计缺陷/逻辑错误
危害等级:高
自评Rank:19
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-03-23: 细节已通知厂商并且等待厂商处理中
2015-03-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
据说可以reset任意用户的密码。
详细说明:
问题的原因就出在四位数验证码上,硬伤啊。
以及没限制
url:http://i.epoint.com.cn/EpointWeb/RegisterUser/forgetPassword.aspx
此处拿一个小号来测试下:
Yzm=1234
拿个四位数的字典出来。
爆破吧,几分钟
7830
漏洞证明:
修复方案:
版权声明:转载请注明来源 ssss@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-03-28 14:18
厂商回复:
最新状态:
2015-04-03:已修复此漏洞