-
換一種姿勢挖掘任意用戶密碼重置漏洞
大家有沒有發現: 當你忘記自己的賬戶密碼,需要重置/找回密碼時,會發送驗證碼到你綁定的手機號上。 圖片源于網絡,侵刪 這種行為一般用于身份驗證,但也可能存在極大的邏輯漏洞——密碼重置漏洞。 密碼重置漏洞,顧名思義,漏洞位置在重置/找回密碼處,由于驗證設計過于簡單,而且驗證碼的使用次數沒有限制,導致正確的驗證碼可以被枚舉爆破,從而重置密碼。 密碼重置漏洞類型 除了驗證不嚴格之外,還有諸如敏感信息泄露、重置密碼消息劫持等比較常見的漏洞,密碼重置漏洞在生活中很是普遍,在各類網絡安全事件中,占比也非常高…
