摘要： 密码找回漏洞： 为了防止用户密码遗失，大多数网站都提供了找回密码功能。常见的找回密码方式有：邮箱找回密码、根据密码保护问题找回密码、根据手机号找回密码等。虽然每种方法密码找回实现不同，但是无论哪种密码找回方式，在找回密码时，除了自己用户密码，如果还能找回其他用户密码，就存在密码找回漏洞。 其渗透测试 阅读全文

摘要： 逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误，一般出现在任意密码修改（没有旧密码验证）、越权访问、密码找回、交易支付金额。 一般挖掘逻辑漏洞有两个重点：业务流程和HTTP/HTTPS请求篡改。 绕过授权验证： 水平越权：就是相同级别（权限）的用户或者同一角色 阅读全文