PS:现在逻辑性漏洞较多,收集一些比较经典的逻辑性漏洞来学习参考。
缺陷编号: WooYun-2016-205365漏洞标题: 丽子美妆某处严重逻辑漏洞作者:路人甲
#任意用户密码重置漏洞 URL:http://www.lizi.com/user/resetPwd 通过找回密码功能
输入手机号,验证码,下一步,抓包,查看返回值
从返回值中可以直接看到验证码经过了客户端,导致可重置任意用户的密码 通过群搜索,我们可以查到大量的用户账户(手机,邮箱)