1.验证码无效漏洞导致爆破任意账号名或手机号
2.弱验证码导致爆破手机号的密码找回验证
3.缺失的身份认证导致绑定别人的账号到自己的手机
乌云和80sec在新年被劫持,我想大家也都知道,
中国万网任意账号劫持+验证码漏洞
。乌云域名是在万网注册的,现在我就以劫持乌云为测试案例描述一下万网存在的一些安全风险。过程描述:
首先可以看到万网对用户的绑定手机号是有提示的。
在找回密码模块有一个1.验证码无效漏洞-->爆破任意账号名或手机号
以爆破手机号为例子:
如果跑出来的话,万网会给用户的手机发一个验证码,而这个验证码却只是一个4位的数字,
电脑资料
《中国万网任意账号劫持+验证码漏洞》(https://www.unjs.com)。2.弱验证码-->爆破手机号的密码找回验证
截住,然后爆破这个验证码
这样一来就可以重置任何万网账号的登录密码了。
后来,我找到了一种更加简洁的办法,一步搞定。
3.缺失的身份认证-->绑定别人的账号到自己的手机
进入
,然后截包。
userID写成你要劫持的账号的ID,手机号当然写成你自己的了。至于如何知道ID,前面已经有提(你也可以去社工)。
然后你就懂了。
说一句腾讯、黑基等也是在万网注册的。