思路:在找回密码处存在设计缺陷,一般短信验证码为四位,无尝试次数限制,可爆破。
利用burpsuite遍历0000~9999之间的验证码数字,查看返回包及字节长度,绕过短信验证。
以下为某云的漏洞利用列子
