验证码绕过找回漏洞
乌云:曾经的src平台 漏洞会公开
绕过验证码:
1.利用逻辑漏洞绕过
2.利用图片识别
利用逻辑漏洞绕过:
1.前端验证码 等于没有检测 直接跑数据包抓包
2.验证码设置了但是没有校验,随便填有可能过
3.验证码重复使用
4.验证码空值绕过
5.验证码简单用脚本可以识别
6.验证码在html页面显出
7.传参里有验证码
8.验证码有规则
9.万能验证码输入000000能直接绕过
10.验证码有的藏在cookie里,看看是不是存在验证码的参数
11.图片验证码 类型少容易识别
12.多次登录后出现验证码绕过:
基于用户3 用户名不断替换 123456
基于ip:替换ip
X-Forwarded-For 变ip
基于session=>cookie
密码找回漏洞
1.验证码发送后前端返回
2.验证码无次数限制可爆破
3.验证码可控
4.直接修改密码
5.越权漏洞 自己验证码改包改别人密码