修改密码的安全漏洞
Genie-Liu opened this issue · comments
通过ForgetPwdView可以获得修改密码的链接,点击进去之后是reset界面,里面包含了要修改密码的email信息。
ModifyPwdView修改密码的时候对email是没有验证的,那么我在reset界面直接修改email信息,就可以修改其他邮箱的密码了。
@Genie-Liu 非常感谢,我自己也测试了一下,这里确实没有加入验证可以修改别人密码。
Vue前台 + Django3.1 + DjangoRestful Framework + Ant Design Pro V4后台 开发的在线教育网站及后台管理
Genie-Liu opened this issue · comments
通过ForgetPwdView可以获得修改密码的链接,点击进去之后是reset界面,里面包含了要修改密码的email信息。
ModifyPwdView修改密码的时候对email是没有验证的,那么我在reset界面直接修改email信息,就可以修改其他邮箱的密码了。
@Genie-Liu 非常感谢,我自己也测试了一下,这里确实没有加入验证可以修改别人密码。