漏洞描述: | 可通過賬號申訴,找回任何沒有填寫“密保證件”的新浪通行證賬號。網易好像也可以這麼搞。 |
---|---|
漏洞內容: | 新浪郵件系統,新浪通行證等相關賬號安全,業務邏輯控制不嚴,如果任何賬號在沒有設置“密保證件”真實身份信息的情況下,可以通過申訴找回相應賬號的所有控制權,而“安全中心”中的“安全郵箱”“密保問題”均是擺設,均作廢。在申訴中,申訴工單視“上傳真實身份信息”爲最高身份權限認證,且不會驗證“註冊時間”“註冊地點”“曾經使用的密碼”這些均是擺設,所以只要你上傳相關真實身份信息,填寫接近的資料信息,你所申訴的賬號都可以找回來。該問題請新浪,網易郵箱的相關部門重視,我已經通過此方法驗證過10個不同場景的郵箱了,郵箱均能申訴或者通過密保找回 |
新浪通行證在線申訴找回密碼業務邏輯錯誤導致嚴重安全漏洞
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
Qt/C++音視頻開發77-獲取本地有哪些攝像頭名稱/ffmpeg命令日誌方式
飛揚青雲
2024-06-16 14:31:38
Java 學習網站
## spring security https://github.com/jitwxs/blog-sample/tree/master
dunkbird
2024-06-16 14:31:18
全面解析 OAuth 2.0:概念、流程與實戰示例
Ryan_zheng
2024-06-16 14:24:47
Lakehouse 還是 Warehouse?(2/2).md
eesf
2024-06-16 14:22:37
C#/.NET/.NET Core拾遺補漏合集(24年6月更新)
追逐時光
2024-06-16 14:21:47
Python 潮流週刊#56:NumPy 2.0 裏更快速的字符串函數(摘要)
豌豆花下貓
2024-06-16 14:19:07
python: time object
®Geovin Du Dream Park™
2024-06-16 14:00:36
定期優化和分析表
xiaobingch
2024-06-16 13:56:25
存檔-環境信息conda
太一吾魚水
2024-06-16 13:44:44
存檔-環境信息apt
太一吾魚水
2024-06-16 13:44:44
Wireshark 安裝+使用(一)
https://blog.csdn.net/zhuizhufanxin123/article/details/103982940
規格嚴格-功夫到家
2024-06-16 13:43:14
metasploit學習
規格嚴格-功夫到家
2024-06-16 13:43:14
VirtIO drivers for Linux, Windows and etc.
paceship9
2024-06-16 13:42:04