请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

老师,你的代码有一个任意修改别人密码的漏洞!!!!

在那个修改密码的页面,我把hidden里面的邮箱改成别人的,那我岂不是想修改谁就修改谁的密码???
很久以前_要很久 2018-01-31 07:31:56
源自:6-12  找回密码(2)
926
收起

正在回答 回答被采纳积分+3

1回答

bobby 2018-02-01 09:58:10

修改密码页面 必须要在登录的情况之下才行,而且只能修改当前登录用户的密码 这个是行不通的

0 回复 有任何疑惑可以回复我~
收起回答
  • 慕运维2948618 #1 
    老师,这位同学说的是找回密码时的漏洞,因为谁都可以进入密码修改界面,而在密码修改界面中却存在一个要修改密码的用户<input type='hidden'  value='xxx@xxx.com'>,那么我将可以通过修改这个用户,从而修改别人密码。
    回复 有任何疑惑可以回复我~ 2018-05-18 22:42:38
  • bobby 回复 慕运维2948618 #2 
    这里如果为了安全,可以在这里填写一个用户的session,后台通过这个sessionid找到用户 然后修改用户就行了
    回复 有任何疑惑可以回复我~ 2018-05-21 13:58:55
取消 回复

相似问题

为登入状态下,为什么需要token,我感觉可可无啊
1324 1 5
434 0 1
话不会显示错误提示
843 0 4
成功后后天不自动登出
950 0 5
时候报错Error 206
853 0 3

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
Python3.6+django+xadmin,打造在线教育平台
  • 参与学习       3677    人
  • 解答问题       4037    个

【毕设】Python 2.7到3.6 完美适配,Django升级2.0

了解课程

本课精华内容

问答

django+xadmin 在线教育课程常见问题归纳(持续更新中)

14.1k 81

ModuleNotFoundError: No module named 'django.urls'

588 4

django+xadmin 在线教育课程常见问题归纳(持续更新中)

14.1k 81

在django工程中要不断地循环执行一段代码怎么做?

1.4k 22

‘提交成功’正确后如何把之前的‘添加出错’信息删除呢?

1.2k 20

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信