钻石小鸟官网
-
钻石小鸟官网存在任意用户密码可修改漏洞网站安全分享!
漏洞在个人中心-账号安全的手机修改功能,修改手机时只要将cookie中的BriddMember_uid修改成任意用户的id即可修改该账号的手机号码,然后通过手机号找回密码即可修改任意用户的密码,此外http://www.zbird.com/pointgift/memberinfo 获取用户信息的接口中修改同样的cookie值也可以读取用户昵称和积分数据。
http://m.zbird.com/member/ 手机版中修改cookie的 ZBIRDMOBILE_CARDNO 值可以读取任意用户的账号信息包括订单、积分等。
一、先来说修改任意用户的密码:
先注册一个账号,然后进入个人中心的账号安全点击修改手机号,