
一年前给公司买了一个联想商务网盘,399元/年,非常不好用。外链文件强制https访问,不能使用下载工具,文件稍微大点比如100m的下载中途断了的话无法续传,需要重新下载。这点还没导致我放弃使用,最后因为密码重置漏洞导致网盘完全无法使用了,最后选择了淘宝http网盘,一直使用到现在。
联想商务网盘的密码重置漏洞主要在于密码重置流程设计的不合理,联想商务网盘的密码重置流程如下:
用户填写邮箱地址和验证码 > 系统自动重置密码并发送到用户邮箱
一般密码重置流程应该为:
用户填写邮箱地址和验证码 > 系统自从发密码重置链接到用户邮箱 > 用户点击密码重置链接设置新密码
联想商务网盘的密码重置只需要单一邮箱即可进行重置,缺乏用户的二次确认,这导致了其他人只要知道你的邮箱号即可对你账号进行恶意重置。有次网盘被人一天内恶意修改了几十次密码,联系联想的客服人员无果,最后只能跟联想告别了。
今天做部门资产登记的时候再次登陆网盘,发现这个漏洞至今快一年了还未被修复,这个产品真的没救了。

