沈阳电脑维修上门服务13889116605： 百酷网修改任意用户密码，米有多少技术含量，大神莫喷，现在厂商貌似已经修复了，所以当你看到这个漏洞的时候，差不多已经失效了，囧。90博客版权所有，转载请注明。漏洞说明：　　百酷网要手机号才能... 百酷网修改任意用户密码，米有多少技术含量，大神莫喷，现在厂商貌似已经修复了，所以当你看到这个漏洞的时候，差不多已经失效了，囧。90博客版权所有，转载请注明。 漏洞说明： 　　百酷网要手机号才能注册，然后找回密码的机制就是给手机号发送一个验证码，问题产生了。由于发送的是6位随机数字，且不限制验证次数和验证IP，于是就可以暴力破解验证码，从而修改用户的密码。因为涉及到手机号，想要获取大量手机号也不是什么难事，又因为涉及到RMB，所以危害也算比较大。 漏洞过程：www.it165.net 　　首先找回密码，然后会给手机号发送6位随机数验证码，提交抓包。     输入正确的验证码，即可修改密码。     漏洞修复： 限制验证次数和IP 验证码不要纯数字  
上一篇:wordpress的cookies过滤不严导致super cache后台XSS-电脑维修助手