密码找回漏洞

密码找回的方式:

1. 第一种就是找回密码,往邮箱发送明文密码或者验证码(手机短信验证就是往你手机号码发验证码),通过这样的方式来判断是否是本人。

2. 第二种是发送一个重置密码的链接到邮箱。

那么上述的密码找回会造成什么样的漏洞呢?

1.验证码发送之后在前端返回,比如抓一个包,验证码会在你提交数据后返回一个待验证码的数据包

2.验证码无次数限制,可爆破

3.验证码可控

4.直接修改密码页面,类似于未授权访问(账号提交给了你cookie复制,经过第二步获取验证码,验证码验证通过之后跳转修改页面,修改密码),这里的逻辑漏洞存在于每当提交了获取验证码之后,直接去访问修改密码的页面。

5.缺失的身份验证,绑定别人的账号到自己的手机

6.越权漏洞

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容