基本介绍
找回密码功能模块中通常会将用户凭证(一般为验证码)发送到用户自己才可以看到的手机号或者邮箱中,只要用户不泄露自己的验证码就不会被攻击者利用,但是有些应用 程序在验证码发送功能模块中验证码位数及复杂性较弱,也没有对验证码做次数限制而导 致验证码可被暴力枚举并修改任意用户密码,在测试验证码是否可以被暴力枚举时,可以先将验证码多次发送给自己的账号,观察验证码是否有规律,例如:每次接收到的验证码为纯数字并且是4位数
测试流程
验证码暴力破解是指在密码重置的过程中使用Burp Suite不断地尝试对验证码进行猜解的测试,一旦验证码猜解成功即可对被攻击账号进行密码重置
漏洞案例
在网站找回密码逻辑时,发现重置密码的验证码有多个验证码可用,经过爆破后即可找到多个有效的验证码,输入任意一个验证码后即可使用该方法成功重置密码,攻击过程如下图所示
对任意一个有效的验证码多次重放依旧有效