1：不想水，直接扔截图，求聂风老师以及给为学长学弟们给点金币吧好了不水了，这个比较简单，这里存在两个漏洞 1：任意账户密码重置 2：任意账户邮箱重置漏洞复现：任意账户密码重置先创建两个测试账户点进密码忘记，填写1号账户的邮箱,这里要注意一点就是，抓包修改邮箱的话，这个邮箱必须是存在的，所以抓包修改为2号账户的邮箱![]图中所示，修改这里就好，这里要填成2号账户的邮箱，临时邮箱

1：首先先查看当前网站，有哪些功能点，找到了两个，一个URL，另一个就是留言，但是经过测试，留言板已提交留言，页面就返回为空，所以只剩下，URL，试了下URL， id=2-1 页面返回是1这个值的内容，所以这个地方存在漏洞判断了，存在漏洞，但是问了下老师，发现是ACCESS库，也就是我之前学的语句无法使用，所以我就从网上找了一个博客，写的还不错,可以看下 https://bl

1：金额任意修改，这类问题的出现多数是程序员的大意造成的，没有对异常数据进行很好的处理，导致了问题的产生2：常见的绕过方法有：付款处金额修改，数量修改，改为负数2：修复方案： 对关键参数进行完整的效验 检测的异常参数，直接报错，停止代码运行3：对某网站测试说实话，这个真的好贵，买不起挑个便宜的测试抓包，在底部输入金额368，burp会显示368的数字，经过测试，修