登录密码重置漏洞分析溯源

发布于 2020-04-30  88 次阅读


这是环境

密码重置的逻辑漏洞很简单。

输出需要重置的电话,申请短信验证码,然后抓包

修改接收验证码的手机号为我们的手机

接收到验证码之后直接换回原来的号码提交

这种漏洞出现的原因就是由于开发人员的疏忽,验证码和手机号没有对应,在传回验证码的时候没有对应它进行检验是否是属于这个手机号。类似的问题还有验证码时效,也有可能导致这种越权的漏洞。


学不动了,带带孩子吧。