新浪通行证在线申诉找回密码业务逻辑错误导致严重安全漏洞

漏洞描述: 可通过账号申诉,找回任何没有填写“密保证件”的新浪通行证账号。网易好像也可以这么搞。
漏洞内容: 新浪邮件系统,新浪通行证等相关账号安全,业务逻辑控制不严,如果任何账号在没有设置“密保证件”真实身份信息的情况下,可以通过申诉找回相应账号的所有控制权,而“安全中心”中的“安全邮箱”“密保问题”均是摆设,均作废。在申诉中,申诉工单视“上传真实身份信息”为最高身份权限认证,且不会验证“注册时间”“注册地点”“曾经使用的密码”这些均是摆设,所以只要你上传相关真实身份信息,填写接近的资料信息,你所申诉的账号都可以找回来。该问题请新浪,网易邮箱的相关部门重视,我已经通过此方法验证过10个不同场景的邮箱了,邮箱均能申诉或者通过密保找回

你可能感兴趣的:(新浪通行证在线申诉找回密码业务逻辑错误导致严重安全漏洞)