成佩涛-荔枝FM找回密码漏洞
来源:互联网 发布:sql查询分析器如何建表 编辑:程序博客网 时间:2024/04/27 21:45
漏洞截图:
1、荔枝FM找回密码页面:
2、提交抓取到的报文:
forgotpwdloginTipBg.png2 requests ❘ 237 B transferredHeadersPreviewResponseRemote Address:210.14.152.118:80Request URL:http://nj.lizhi.fm/account/forgotpwdRequest Method:POSTStatus Code:200 OKRequest Headersview sourceAccept:application/json, text/javascript, */*; q=0.01Accept-Encoding:gzip,deflateAccept-Language:zh-CN,zh;q=0.8,en;q=0.6Connection:keep-aliveContent-Length:25Content-Type:application/x-www-form-urlencoded; charset=UTF-8Cookie:pgv_pvi=7220358144; pgv_si=s5863073792; Hm_lvt_45dcc777b283462d0db81563b6c09dbe=1411970847,1411971209,1411971414,1412508223; Hm_lpvt_45dcc777b283462d0db81563b6c09dbe=1412509161Host:nj.lizhi.fmOrigin:http://nj.lizhi.fmReferer:http://nj.lizhi.fm/account/forgotpwd?email=1113791689@qq.comUser-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36X-Requested-With:XMLHttpRequestForm Dataview sourceview URL encodedemail:1113791689@qq.comResponse Headersview sourceConnection:keep-aliveContent-Encoding:gzipContent-Length:30Content-Type:application/json; charset=utf-8Date:Sun, 05 Oct 2014 11:39:24 GMTServer:cfsVary:Accept-Encoding
3、从请求报文中获取请求地址及相关请求数据,并采用http模拟工具进行自动提交测试:
4、接下来,邮箱可以看到如下列表:
不用我说大家都清楚,邮箱会被刷爆,估计官方的邮箱发送量也会被刷爆,此处不敢多加猜测,没有做过彻底的试验!
5、接下来,注册一个正常的用户,试试找回功能是否还正常!
PS:这里特别说明一下:我之前的账号是1113791689@qq.com,现在注册的邮箱为:10445598/78@qq.com
6、下面进行1044559878@qq.com邮箱的找回密码,试试功能是否还可以正常使用!
答案是:不能正常使用!
PS:以上为短时间测试,如有误差,欢迎前来交流!
0 0
- 成佩涛-荔枝FM找回密码漏洞
- 密码找回漏洞总结
- 【思路】挖掘密码找回漏洞常见的思路1
- 荔枝fm电脑版 v1.5.2 官方版
- 不要去见回忆里的人--荔枝FM
- 2015年3月荔枝FM前端笔试题
- 荔枝FM:异地多活IDC机房架构
- 密码找回
- 找回密码
- 密码找回
- 找回密码
- 2017直播迎来再度洗牌,荔枝FM能否成为最大赢家?
- 找回 Linux 密码
- oracle10g如何找回密码
- 找回adsl密码
- 终于找回密码^_^
- 终于找回密码了
- MYSQL密码找回
- 拓扑排序-DFS
- CoreData 增删查改
- 解决matlab安装后没有快捷方式启动弹出DOS界面并且m文件无关联的方法
- NYOJ 39水仙花数
- 通过MyEclipse生成Hibernate类文件和hbm.xml文件,或者annotation文件
- 成佩涛-荔枝FM找回密码漏洞
- IOS开发 阅读器类APP可用开源框架介绍(3)
- 正则表达式
- 14年省赛K题:www
- 隐私声明
- Ubuntu软件源使用帮助
- uva-216 - Getting in Line
- Java学习笔记6:覆盖equals时总是要覆盖hashCode
- B. 沙漠之旅(分组背包)