- 修改密码的验证码返回到Web前端进行验证,也就是点击获取验证码后,验证码返回到网页的某个hidden属性的标签中.
- 请求获取修改某账户密码时,修改发送验证码的手机号为自己的手机号,得到验证码,成功修改指定账户密码.
- 修改密码处的验证码的验证次数或者验证码有效时间未做限制,导致可爆破验证码,当然,6位验证码比较花时间,4位秒破.
- 通过修改URL中的用户名参数,从而达到直接请求最终修改指定账户的密码.
- 抓取关键步骤中的POST数据包,通过修改POST数据中的UserName参数实现任意密码重置.
- 邮箱验证时,重置账户的URL重置密码规则有规律可循,导致重置任意用户密码.
网友评论