比如有人在去买呀注册了一个账号 但是有人想进他的账号搞破坏怎么办呢??? 只需要一个手机号就行了~~~

 

去买呀网用户密码重置漏洞 – 网站安全 – 自学p插图

点击登录忘记密码

输入手机号号码

接着burp抓包 打开

response this request

 

去买呀网用户密码重置漏洞 – 网站安全 – 自学p插图1

继续跟进

返回了这个
 

去买呀网用户密码重置漏洞 – 网站安全 – 自学p插图2

将上面的2 修改为3 便可绕过

 修复方案:

八成会忽略吧 哎.......

    上一篇: 安全科普:浮窗登录框的隐患 - 网站安全 - 自学

    下一篇: 百度搜索存储型XSS漏洞 - 网站安全 - 自学php
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《去买呀网用户密码重置漏洞 – 网站安全 – 自学p
   

还没有人抢沙发呢~