绕过原密码修改密码
漏洞描述:
密码修改功能常采用分步骤方式来实现,攻击者在未知原始密码的情况下绕过某些检验步骤修改用户密码。
测试方法:
1.完成修改/重置密码的正常流程;
2.绕过检验原密码等步骤,直接访问输入新密码页面,输入新密码,修改/重置密码。
漏洞分析:
有些密码修改/重置流程采用step=1、step=2类似的方式实现,如果应用校验不全面,攻击者可绕过前面的步骤,直接访问最后一步,输入新密码进行修改/重置。
漏洞等级:
【高危】:绕过原密码验证或绕过验证码
修复方案:
一次性填写校验信息(原始密码、新密码等)后再提交修改/重置密码请求。
安全测试之漏洞测试与修复建议(每周更新欢迎订阅) 文章被收录于专栏
安全测试相关知识分享
