HanDs
管理员

[7月漏洞公开] 阳光保险某险种业务系统任意用户密码重置 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

RT

详细说明:

系统:http://chexian.sinosig.com/unManage/unAgent_forwardUnAgentLogin.action

过程如下:

1、输入我们自己注册的账号

1.png



2、下发验证码,输入收到的验证码,进入下一步

22.png



3、来到输入新密码界面,保留该页面

4.png



4、在新标签中输入目标账号13888888888,提交

3.png



5、回到保留的页面,输入新密码,提交,密码重置成功

5.png

漏洞证明:

13888888888 wooyun123 登陆成功

成功.png



危害不小,可否来个高rank?

修复方案:

严格校验


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
阳光 保险 险种 业务 系统 任意 用户 密码 重置
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复