2018年4月5日
【逻辑漏洞】任意账号密码重置
摘要: 0x00 短信验证码回传 1、原理 通过手机找回密码,响应包中包含短信验证码 2、案例 某网站选择用手机找回密码: 点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示: 3、修复建议 响应包中去掉短信验证码 0x01 修改用户名、用户ID或手机号重置任意账号密码 1、原理 通过手机找回密码是一 阅读全文
posted @ 2018-04-05 08:24 Carrypan 阅读(11287) 评论(0) 推荐(1) 编辑