【安全测试】:某系统短信修改密码，绕过逻辑漏洞

1，忘记密码-修改密码功能，前段发送验证码到收集字段，未验证手机号和被修改用户的账号是否同一个账户造成的

2，通过brupsuite抓包到的信息可以看到（这个是验证发送用户信息的请求），修改了RU(修改为已绑定手机号的我的账户RU),,该字段是用户的系统账号的加密编码

3,验证码信息会发送到这个系统我的手机上，然后提交验证码信息，就可以通过校验，达到修改密码界面。

防范措施：在校验信息时候，验证RU和username是否是同一个账户的信息，不是的话，不发送验证码。