2017
11-01
11-01
任意用户密码重置的10种姿势
以前安全测试最爱挖的就是任意用户密码重置,今天看了carry_your师傅在ichunqiu上的视频文字总结一下任意用户密码重置的10种姿势:
1,短信验证码可爆破;
视频案例中输入手机号码、图片验证码就可以获取短信验证码,并且新密码也是在一个页面中,但是输入短信验证码之后,后端有个请求会判断短信验证码是否正确,错误的话页面会有提醒。攻击者可以用这个请求来爆破验证码,获取到正确的短信验.... Read More >