密码重置功能存在漏洞 - Githubissues

thx / rap2-delos

阿里妈妈前端团队出品的开源接口管理工具RAP第二代

http://rap2.taobao.org

MIT License

7.64k stars 1.35k forks source link

密码重置功能存在漏洞 #859

Open Who-AmI opened 2 years ago

Who-AmI commented 2 years ago

BUG描述 http://rap2.taobao.org/ 忘记密码功能存在安全问题，恶意攻击者可以控制邮箱中域名，导致受害者访问链接之后，生成的code和token发送到控制者的服务器上，从而重置用户的密码，我已申请加入钉钉群，望通过

复现步骤

期望结果

实际结果

截图

环境

是否是自建服务器？如果为自建，请提供操作系统版本
如果是前端错误，请提供浏览器版本
其它可能帮助我们排查问题的环境信息

附加信息