分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
详细说明：
首先是明文传输
位限制次数
我注册的土豪号码
漏洞证明：
首先是明文传输
位限制次数
我注册的土豪号码
修复方案：
小礼物呀小礼物
高Rank呀高Rank
版权声明：转载请注明来源 @
厂商回应：
危害等级：高
漏洞Rank：20
确认时间： 16:55
厂商回复：
感谢番茄师傅的报告，此问题我们已经修复。感谢大家对租租车业务安全的关注，我们一直都很重视用户信息安全，欢迎大家监督反馈，我们会有专人跟进处理。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
。。又可以重置密码了额
@租租车。。。
劫持了帐号。。
个人信息这些。。
都会泄露吧
高rank呀高rank
登录后才能发表评论，请先交易账户异常
重置密码期间被交易损失106万_社会_新闻_三秦网
核心提示： 戴先生的交易账户9点多发现登不上去，立即向客服反映情况，在重置密码的过程中，账户内109万元被人恶意交易，导致亏损72万，产生手续费34万，总共损失了106万元。
本报讯（记者 王梅）戴先生的交易账户9点多发现登不上去，立即向客服反映情况，在重置密码的过程中，账户内109万元被人恶意交易，导致亏损72万，产生手续费34万，总共损失了106万元。
3月20日上午，记者见到戴先生。他说在一个月前在一家贵金属交易平台注册了一个交易账号，平时做一些跟股票类似的交易。17日上午9点他登录账号，发现登不上去，&之前还好好的，我有每天交易完毕后更改密码的习惯，16日晚上还更改过密码，都很正常。&戴先生说，他试了好几次都无法登录。9点30分，他将这一情况反映到了上品贵金属公司的客服。客服告知他需要重置密码，而重置密码的手续却十分麻烦，需要身份证验证以及现场视频照片，加上客服中午12点到下午1点30分之间休息，一直到下午2点钟，戴先生的账号才重置密码成功。
&登录后我发现账户里的109万只剩了3万，再一看交易记录表，发现在10点36分到11点20分，40分钟的时间里，被人交易167次，产生了72万元的亏损，34万元手续费，就连我前一天买进的单子也被卖掉了。&戴先生当时就傻眼了，106万啊！这可不是个小数字。说着他调出账号的交易记录，记者看到，确实在这一时间段内有167次的交易。令戴先生想不通的是，他在9点30分就向客服反映账户异常的情况，为什么还被人在10点多到11点多交易这么多次？他说：&我已经反映了问题，公司后台是不是应该暂停交易，为什么还会出现被人恶意交易的情况？而且平时重置密码都很简单，为什么那天花了近4个小时的时间？&
随后，戴先生现场拨通了上品贵金属公司的客服电话。客服人员称当时客服这边不知道账号异常。而对于充值密码时间长的问题，客服人员回复，由于戴先生当时是电话以及网络联系的，不能确定是否是本人，所以必须上传身份证、现场视频等资料。她说会将戴先生遇到的问题提交上级部门，一旦有调查结果会给戴先生出示一张结果单。&& 目前，戴先生已经委托律师前往深圳，与上品贵金属公司进行交涉，他说如没有结果，将选择报警。
（责任编辑：李永利）&&用手机设备号注册的百度账号密码是什么_百度知道
用手机设备号注册的百度账号密码是什么
使用手机号码注册百度账号时密码是需要自己设置的。如果忘记密码的话，可以通过下面的步骤找回：1、在百度账号登录页面，点击“忘记密码”选项。2、输入百度账号（手机号码）和验证码。3、获取手机短信（密保邮箱也可以）验证码，进行安全验证。4、验证通过之后，选择重置密码，密码重置之后即可正常登陆。
其他类似问题
18人觉得有用
为您推荐：
提问者采纳
应该是没有密码吧！
啊那就惨了
惨了？怎么了？
等不成了啊
你用的不是那款手机了嘛
那就是登不了了！用手机设备登录的应该属于零时用户！
提问者评价
太给力了，你的回答完美解决了我的问题！
其他3条回答
账号就是自己的手机号码，如果没有设置密码或者忘记密码。登录的时候可以通过提示短信找回或者重置。希望能够帮助到您，同时给我一个
《采纳》~~谢谢
我的意思是手机版的百度知道
用手机设备号登陆的
密码是自己设定的啊。。。?
百度账号的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
酷狗音乐任意用户密码重置
详细说明：
1，先注册个用户测试，正常登录时点忘记密码，选择邮箱找回密码得到重置密码连接
code 区域/newuc/user/resetpwd/code=EE0544XXXXX4CEBB2E41E56C8E0AFC19B9EC5CB880FC5C24138BBEE12128F8DFFA51BE00B1B03EDFAF2CFAD7B87D360C02FA239B3E70E7D4D1C7AFFED20CB18DCB38C9394AAXXXXXXX3909CAE
2，选定一个目标用户，用户名为（123），登录时依然点忘记密码，在找回密码处填写目标用户名123，然后下一步。
3，选择邮箱找回，点立即发送，并抓包。
抓包得到：code 区域POST /newuc/user/sendemail/code=EE0544E28BxxxxxxxxE226A370EBF23FC56592BFEC054BEAEF142AE961A040DE6F90F8F305C5E866A8A4EF00DBF08CAA790F5AAE57E71BE58CE00B80930
此时，抓包得到的code只需要跟之前用自己的邮箱得到的连接组合一下就可以重置用户123
的密码了。组合得到：code 区域/newuc/user/resetpwd/code=EE0544E28Bxxxxxxxxx6A370EBF23FC56592BFEC054BEAEF142AE961A040DE6F90F8F305C5E866A8A4EF00DBF08CAA790F5AAE57E71BE58CE00B80930
5，重置密码后登陆：
漏洞证明：
修复方案：
权限验证。求个小礼物~(*^__^*)
版权声明：转载请注明来源 @
厂商回应：
危害等级：中
漏洞Rank：8
确认时间： 19:56
厂商回复：
感谢提供！
最新状态：
：已经修复，谢谢！
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
。。酷狗的用户帐号貌似没啥利用价值
@px1624 很悲催啊
@酷狗 说好的礼物呢 (╯﹏╰)
@px1624 如果被社工~你说进去一般会泄露啥？危害是有！因人而异~
@F4K3R 貌似酷狗很多游戏和应用密码通用滴..
@F4K3R 要我就直接哭了 我那收藏了好几年的酷狗音乐
登录后才能发表评论，请先}