发现21cn邮箱存在严重的安全漏洞及风险,对于申请密保的邮箱可以随便更改任意用户的密码

1,邮箱找回密码的验证码基本上没有什么任用,是直接写在cooke中的。可以直接从cookie中读取。

2,有密保的邮箱 ,密保答案写在页面源代码中。查看源代码就可以直接看到答案,从页修改密码。

 

image

 

过程:

1,选择通过密保问题找回密保

http://passport.21cn.com/getBackPwd_index.jsp?types=2

image

注:验证码是直接写在cookie中的,连加密都没有

image

 

2,进行下一步

image

查看页面源代码:

image

 

3,输入查到的结果

image

 

4,修改密码成功

image

 

5,用新修改的密码进行登陆。

image

 

6,查看结果

image

注:以上公限于研究,请大家不要存在破坏的打算噢,

哎,21cn不安全呀。

你可能感兴趣的:(安全)