逻辑越权之找回机制及接口安全
z_Blog 后台账号密码爆破测试:
首先搭建网站
burp抓包
账号密码都是root.可以发现密码md5加密.
这里在进行爆破前,采用md5加密.
md5解密
接口
- 支付接口
- 邮箱接口
- ...
案例:,短信HZ,电话HZ.
找回重置机制,客户端回显
,response状态值,验证码爆破,找回机制绕过.
首先搭建网站
账号密码都是root.可以发现密码md5加密.
这里在进行爆破前,采用md5加密.
md5解密
案例:,短信HZ,电话HZ.
找回重置机制,客户端回显
,response状态值,验证码爆破,找回机制绕过.