苏宁易购敏感信息弱口令

最新推荐文章于 2024-07-31 22:43:24 发布
转载 最新推荐文章于 2024-07-31 22:43:24 发布 · 2.3k 阅读 · 0

苏宁易购找回密码功能存在安全漏洞,可通过枚举方法重置用户密码。该漏洞利用弱口令特性及可预测的重置链接,加之简单的验证码机制,允许攻击者尝试猜测并重置用户密码。

原文出自:http://www.zysafe.com/html/holes/03/2012101827628.html


苏宁易购找回密码页面生成弱口令发送用户邮箱,可穷举重置密码链接

苏宁易购找回密码好像不止一个入口,比如通过这个入口: http://www.suning.com/webapp/wcs/stores/servlet/ForgotPasswordView 系统会发送一封邮件到用户邮箱。

 

但是重置密码邮件里面的链接是这样的:

 

可以看到,邮件格式是:
http://www.suning.com/webapp/wcs/stores/servlet/ResetPasswordView?storeId=10052&email=邮件地址&activeCode=六位字符
邮件地址是明文,六位数字+字符的排列组合是一个不大的数字。而且这个字符串还有某些规律,如数字通常只有1个或没有,因此可以通过枚举方法向服务器不停提交,直到正确的重设用户密码:

 


 

虽然重设密码的页面有captcha保护,但这个captcha太简单了,一般的OCR都可以识别。


另外顺便报个小洞:

在https://member.suning.com/emall/RetrievePasswordView?storeId=10052&catalogId=10051输入用户名admin,会暴露管理员的邮件: l********a@cnsuning.com,社工一下就能知道隐去的两个字母是什么。

修复方案:

使用更长的不可预测的字符串



常见弱口令大全
春风化雨
07-24 7696
password12345612345678123456789123451234qwerty1111111234567dragon123123baseballabc123footballmonkeyletmein696969shadowmaster666666qwertyuiop123321mustang1234567890michael654321pussysuperman1qaz2wsx7777777fuckyou121212000000。
超级弱口令检查工具(附带弱口令字典)
07-22
超级弱口令检查工具(附带弱口令字典)
python爬虫热点项目—滑块验证码项目(以Bilili为例)
薛定谔的猫-前端领域
07-15 1038
1.模拟登录的网站: bilibili视频网:https://passport.bilibili.com/login 2. 开发环境 本项目需要用到 io time random selenium PIL 请安装对应版本的库如下,其他库均为标准库,无需安装 ​ pipinstall pillow ​ pipinstall selenium 3.项目流程介绍 初始...
ORA-28001口令已经失效问题处理
没有什么能够阻挡,你对自由的向往
06-16 1565
Oracle客户端或者JDBC连接Oracle的时候,提示ORA-28001或者ORA-28002错误 是由于Oracle11G的新特性所致, Oracle11G创建用户时缺省密码过期限制是180天(即6个月), 如果超过180天用户密码未做修改则该用户无法登录。 Oracle公司是为了数据库的安全性默认在11G中引入了这个默认功能,但是这个默认的功能很容易被DBA或者是开发人员给疏忽,一旦...
苏宁易购登录参数password2的生成过程
小猪佩奇的博客
12-17 1205
该文章主要提供交流学习使用,请勿利用其进行不当行为! 如本篇文章侵犯了贵公司的隐私,请联系我立刻删除! 今天分享一下,苏宁易购的password参数的生成过程。 找到参数password2,发现是pwd2。然后看到加密的地方,我们来研究研究。 我们先把这段代码复制出来。修改为这样子,pwd是原始密码。loginPBK是秘钥。 进入加密函数里面,,,然后扣代码,将近4000千行代码,全部复制出来...
超级弱口令检查工具
good good study day day up
07-31 2964
超级弱口令工具在检测系统漏洞中的作用,包括如何使用和自定义设置。
超级弱口令检查工具-SNETCracker
SuperherRo的博客
07-20 4012
SNETCracker超级弱口令检查工具是一款开源的Windows平台的弱口令安全审计工具,支持批量多线程检查,可快速发现弱密码、弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。
网络安全设备常见弱口令
1stPeak's Blog
08-12 6217
网上总结一下网络安全设备常见默认口令,方便后续自己查看 安全设备 默认用户名 默认密码 深信服 sangfor sangforsangfor@2018sangfor@2019 深信服科技 AD dlanrecover 深信服负载均衡 AD 3.6 admin admin 深信服WAC ( WNS V2.6) admin admin 深信服VPN Admin Admin 深信服ipsec-VPN (SSL 5.5) Admin Admin 深信服A
php弱口令总结,web漏洞之弱口令
weixin_35259908的博客
03-27 1774
前言:将web漏洞中万能密码也归类于弱口令篇。1.phpmyadminphpmyadmin万能密码其实应该叫phpmyadmin万能账号,因为是在帐号处输入漏洞信息,而密码不需要输入用户名处写入'localhost'@'@"则登录成功,密码无需输入 (全部为英文标点符号)phpmyadmin 爆绝对路径phpMyAdmin/libraries/select_lang.lib.phpphpMyAdm...
渗透测试弱口令字典,密码爆破字典
03-19
渗透测试弱口令字典,密码爆破字典
web常用弱口令,仅做交流,禁止任何攻击行为
03-08
web常用弱口令,仅做交流,禁止任何攻击行为
弱口令检测工具,测试发现弱口令
11-05
弱口令检测工具,测试发现弱口令
常见弱口令弱口令字典
04-10
常见弱口令弱口令字典
最简洁的弱口令含义理解
weixin_44257023的博客
08-07 1633
弱口令 弱口令没有什么定义标准,一般通常认为容易被别人用破解工具(超级弱口令检查工具)或者猜测到的口令,称为 弱口令 ,比如密码设置为:"123456" 、"admin123"等,因为这样很容易被他人破解,使得计算机面临风险. ...
【轴承故障诊断】基于融合鱼鹰和柯西变异的麻雀优化算法OCSSA-VMD-CNN-BILSTM轴承诊断研究【西储大学数据】(Matlab代码实现)
最新发布
12-24
【轴承故障诊断】基于融合鱼鹰和柯西变异的麻雀优化算法OCSSA-VMD-CNN-BILSTM轴承诊断研究【西储大学数据】(Matlab代码实现)内容概要:本文提出了一种基于融合鱼鹰和柯西变异的麻雀优化算法(OCSSA)优化变分模态分解(VMD)参数,并结合卷积神经网络(CNN)与双向长短期记忆网络(BiLSTM)的轴承故障诊断模型。该方法利用西储大学公开的轴承数据集进行验证,通过OCSSA算法优化VMD的分解层数K和惩罚因子α,有效提升信号分解精度,抑制模态混叠;随后利用CNN提取故障特征的空间信息,BiLSTM捕捉时间序列的动态特征,最终实现高精度的轴承故障分类。整个诊断流程充分结合了信号预处理、智能优化与深度学习的优势,显著提升了复杂工况下轴承故障诊断的准确性与鲁棒性。; 适合人群:具备一定信号处理、机器学习及MATLAB编程基础的研究生、科研人员及从事工业设备故障诊断的工程技术人员。; 使用场景及目标:①应用于旋转机械设备的智能运维与故障预警系统;②为轴承等关键部件的早期故障识别提供高精度诊断方案;③推动智能优化算法与深度学习在工业信号处理领域的融合研究。; 阅读建议:建议读者结合MATLAB代码实现,深入理解OCSSA优化机制、VMD参数选择策略以及CNN-BiLSTM网络结构的设计逻辑,通过复现实验掌握完整诊断流程,并可进一步尝试迁移至其他设备的故障诊断任务中进行验证与优化。
SNMP弱口令扫描工具使用教程及信息提取方法
本文将详细介绍SNMP弱口令扫描以及系统信息查看的相关知识点。 首先,弱口令扫描是指利用特定的软件工具对目标网络设备的SNMP服务进行口令强度检测,试图找出配置不当的弱口令。SNMP服务默认的公开和私有社区字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值