服务端验证逻辑缺陷(接口安全，直接删除字段，绕过了验证)

有些信息系统的服务端验证逻辑存在漏洞。攻击者可以通过删除数据包中的某些参 数、修改邮件发送地址或者跳过选择找回方式和身份验证的步骤，直接进入重置密码界面 成功重置其他人的密码。

15.6.1 删除参数绕过验证 步骤一:某邮箱系统可以通过密码提示问题找回密码，如图15-35所示。

 

 

步骤二:首先随机填写密码答案，然后进入下一步，抓包后将问题答案的整个字段都

删除再提交，如图15-36所示

 

 

步骤三:因服务端验证逻辑存在缺陷，无法获取到问题答案的情况下直接通过了验 证，密码重置成功，如图15-37所示。