钻石小鸟官网

漏洞在个人中心-账号安全的手机修改功能，修改手机时只要将cookie中的BriddMember_uid修改成任意用户的id即可修改该账号的手机号码，然后通过手机号找回密码即可修改任意用户的密码，此外http://www.zbird.com/pointgift/memberinfo 获取用户信息的接口中修改同样的cookie值也可以读取用户昵称和积分数据。

http://m.zbird.com/member/ 手机版中修改cookie的 ZBIRDMOBILE_CARDNO 值可以读取任意用户的账号信息包括订单、积分等。

一、先来说修改任意用户的密码：

先注册一个账号，然后进入个人中心的账号安全点击修改手机号，