任意用户注册与任意密码重置实战
密码找回功能可能存在的漏洞
1.验证码发送后前端返回
2.验证码无次数限制可爆破
3.验证码可控/邮箱篡改为自己的接收短信验证码/手机号码篡改为自己的接收短信验证码
4.越权漏洞—>自己验证码通过改包然后修改他们密码
5.任意用户密码重置
6.密保问题在前端源码
实战开始
简单信息收集,发现存在这样一个功能:
经过分析发现,使用的手机号码都是同一个地区的号码。根据当地号码数字来进行构造,如:1340723**等,来跑后门的4位数,暴破出有用的手机号码
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-子羽 | 50.00 | 0 | 2023-05-20 12:12:30 | 活动翻倍 |
| Track-子羽 | 50.00 | 0 | 2023-05-20 12:12:19 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
实战纪实
Track-子羽
发表于 2023-5-20
有点东西,但是文章书写水平有待提升。这次我就帮你简单修改了一下哦
评论列表
加载数据中...
seraphim
发表于 2023-5-25
感谢分享,向你学习
评论列表
加载数据中...
一呼
发表于 2023-8-19
这种站点都是在哪儿找的呀
还有前面那个电话号码前面七位是怎么收集的呢
求解惑
评论列表
加载数据中...