限时投稿-密码重置漏洞
1:密码重置漏洞可以说,10个网站6个有这个漏洞,参加SRC的学长们可以试试,直接上图
2:防御方法
混合加密,可以有效防止攻击者恶意修改邮箱
建立两个账户,在测试左后一步的时候,第一个账户出了问题,就换了另一个账户,别介意
在这里看到了密码找回,嘿嘿
这里是验证当前邮箱是否存在,填写正确的邮箱即可
在这一步,提示点击将验证码发到邮箱,抓包,修改邮箱
这里居然没有加密!!!,不知道前端传来的数据不可信吗,既然不加密,尝试一下社会的毒打,修改邮箱
成功接收验证码,
修改成功
思路
填写目标的邮箱号,在第二步抓包,将邮箱改为自己的邮箱号【这一步的目的是,将验证码发到自己的邮箱】,接收到了验证码,第三步密码重置
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-聂风 | 20.00 | 0 | 2021-07-17 11:11:23 | 限时投稿奖励 |
| Track-聂风 | 50.00 | 0 | 2021-07-17 11:11:13 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
Track-聂风
发表于 2021-7-17
经典密码找回漏洞
评论列表
加载数据中...
spider
发表于 2021-7-17
牛逼
评论列表
加载数据中...
山屿云
发表于 2021-7-18
一天水一篇,一天70
评论列表
加载数据中...
山屿云
发表于 2021-7-18
1000/70 = 14
同学你再投稿14次就能有100块钱了
评论列表
加载数据中...
lunnam
发表于 2021-7-19
你输自己的邮箱服务端不会校验是否存在吗?
评论列表
加载数据中...
南极熊
发表于 2021-7-20
之前发现一个学校的,也是修改密码,验证码只有4位数,完全可以通过爆破
评论列表
加载数据中...