聚美优品任意用户密码修改分析与思考

今天下午14:21分,有匿名的白帽子提交了一个聚美优品的任意密码修改漏洞,通过此漏洞可以重置任何用户的密码,仅仅两小时后聚美优品官方修复了这个漏洞并公开了细节(给力厂商,赞个),下面我们一起来看看这个漏洞。

根据白帽子的描述,首先我们要发送一封找回密码的邮件给自己。

t019987e03d81f577eb.png

不要点击邮件里的链接

t01cf26765b60e1a782.png

再发送找回密码的邮件给要修改的账户邮箱。当然这封邮件我们是看不到的了。

但是当我们点击刚才收到的链接,神奇的事情发生了,我们居然修改了后者的密码。

t014009da213f23edc1.png

t016da5136f44eddceb.png

根据小编的分析,每当我们发送一封找回密码的邮件,程序会在COOKIE或者SESSION里设置一个标记,表示我们下面修改的将是这个人的密码。但是程序并没有判断当前找回密码的url属于哪个用户,造成任何的找回密码url都能修改当前COOKIE或者SESSION里标记的人的密码,最终形成了这个任意密码修改漏洞。

这个比较罕见的案例又给白帽子们增加了挖掘漏洞的思路啊~同时也提醒了广大程序猿,有时候一个想当然的逻辑可能会引发很严重的后果哦~