修改密码的漏洞
来源:5-5 后台登录找回密码(下)
qq_老帅_04419847
2018-06-05
把用户名作为隐藏域,如果知道了别人的账号,并且在调试模式下把用户名改成了其他人的账户,岂不是把别人的密码给改了,那就可以随便登录别人的账户了。感觉应该把token放到session中,在重置的时候不提交账号,通过判断session决定是否合法,而且还能在重置后删除session,防止再次使用。
写回答
1回答
-
Jason
2018-06-10
是这样,修改密码的前提本身就是要知道该用户名的原密码,否则无法修改,因此我们在修改密码之前,需要先查询原密码是否正确。
00
相似问题