zoukankan      html  css  js  c++  java
  • 密码重置

    1、如果有正常用户,先使用正常用户走一遍密码重置流程,重点关注流程中的抓包信息。(抓包信息中会不会存在验证码,重置链接)

    2、密码重置功能常会存在验证账号是否存在的漏洞,可以爆破用户名。若有验证码,查看验证码是否有效,是否可绕过,判断是否爆破。

    3、密码重置使用隐藏部分信息的邮箱或手机号找回,但是点击获取验证码后,抓包可以获取完整的邮箱信息或手机号信息。修改为攻击者的邮箱或手机号,可以进行密码修改。

    4、密码重置过程中,某个关键步骤可以使用攻击者账号获取验证信息进行绕过。

    5、密码重置过程中,可以尝试修改服务端返回的状态码或者校验状态。

    6、密码重置过程中,可以爆破token。

  • 相关阅读:
    springcloud之配置中心和消息总线(配置中心终结版)
    yaml
    RESTful API
    单元测试Junit5
    IDEA社区版创建web项目
    Mybatis常见面试题
    mybatis逆向工程
    mybatis注解
    延迟加载
    缓存
  • 原文地址:https://www.cnblogs.com/phw110/p/11459869.html
Copyright © 2011-2022 走看看