逻辑漏洞-密码找回之验证码发给了客户端

PS：现在逻辑性漏洞较多，收集一些比较经典的逻辑性漏洞来学习参考。

缺陷编号： WooYun-2016-205365
漏洞标题：丽子美妆某处严重逻辑漏洞
作者：路人甲

＃任意用户密码重置漏洞
URL：http://www.lizi.com/user/resetPwd
通过找回密码功能

输入手机号，验证码，下一步，抓包，查看返回值

漏洞证明：

从返回值中可以直接看到验证码经过了客户端，导致可重置任意用户的密码
通过群搜索，我们可以查到大量的用户账户（手机，邮箱）

相关文章：

2021-11-23
2021-06-27
2022-02-05
2021-05-23
2021-08-28
2021-11-30
2022-12-23
2022-12-23

猜你喜欢

2021-06-29
2022-01-20
2022-02-14
2021-10-29
2021-09-14
2021-11-23

相关资源

下载 2022-12-31
下载 2023-02-03
下载 2021-07-02
下载 2023-02-07

相似解决方案

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode