漏洞描述：漏洞內容：

可通過賬號申訴，找回任何沒有填寫“密保證件”的新浪通行證賬號。網易好像也可以這么搞。

新浪郵件系統，新浪通行證等相關賬號安全，業務邏輯控制不嚴，如果任何賬號在沒有設置“密保證件”真實身份信息的情況下，可以通過申訴找回相應賬號的所有控制權，而“安全中心”中的“安全郵箱”“密保問題”均是擺設，均作廢。在申訴中，申訴工單視“上傳真實身份信息”為最高身份權限認證，且不會驗證“注冊時間”“注冊地點”“曾經使用的密碼”這些均是擺設，所以只要你上傳相關真實身份信息，填寫接近的資料信息，你所申訴的賬號都可以找回來。該問題請新浪，網易郵箱的相關部門重視，我已經通過此方法驗證過10個不同場景的郵箱了，郵箱均能申訴或者通過密保找回

總結

以上是生活随笔為你收集整理的新浪通行证在线申诉找回密码业务逻辑错误导致严重安全漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。