我们来自五湖四海,不为别的,只因有共同的爱好,为中国互联网发展出一分力!

PPS逻辑错误导致可重置他人账户密码(爱奇艺中枪)

2014年01月04日01:07 阅读: 27328 次

标签: 错误, 逻辑, 导致

第一次在这个位置发现此类问题,以PPS官方账户webid@web02.ppstream.com为例

1、进行密码重置操作


2、以往进行到这步,马上登录邮箱查看密码重置链接是否存在缺陷,这次在“重发发送”时进行截包


3、发现传递了email参数,尝试进行篡改,将email改成自己的邮箱地址


4、发送成功,登录邮箱,发现收到了重置密码邮件



5、由于百度将PPS、爱奇艺进行了整合,PPS、爱奇艺账户可以互通,(百度账户也可以直接登录PPS、爱奇艺,但是单向的)。

6、使用此账户可以登录PPS、爱奇艺大部分平台

 











修复方案:
账户关联登录很方便,也很危险!

分享到: 更多
©2017 安全焦点 版权所有.
人才招聘联系我们