![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
业务安全
bylfsj
这个作者很懒,什么都没留下…
展开
-
业务安全实战
一.撞库攻击知名公司官方用户登陆有校验码,但某个子站没有,导致撞库攻击。二、密码找回1.手机号,简单验证码爆破可以通过在手机号后面添加不为数字的符号,绕过此次数限制2.网上申诉,网页源代码隐藏密保信息。三、密码存在弱token四、密码重置凭证与账户关联不深1.短信验证码找回,更改uid2.邮箱token,修改用户ID五、重新绑定用户手机和邮箱1.注册邮箱测试账号,跳转手机绑定...原创 2019-10-22 19:01:01 · 281 阅读 · 0 评论 -
业务安全总结
知识点测试过程原创 2019-10-19 21:01:04 · 430 阅读 · 0 评论 -
任意用户密码重置(七):Token可预测
*本文原创作者:yangyangwithgnu,本文属FreeBuf原创奖励计划,未经许可禁止转载在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析,这次,关注因重置凭证可预测导致的任...转载 2019-10-19 19:29:27 · 595 阅读 · 0 评论 -
任意用户密码重置(六):应答中存在影响后续逻辑的状态参数
*本文作者:yangyangwithgnu,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析,这次,关注因重置凭证可暴破导致的...转载 2019-10-19 19:27:57 · 339 阅读 · 0 评论 -
任意用户密码重置(五):重置凭证可暴破
*本文作者:yangyangwithgnu,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析,这次,关注因重置凭证可暴破导致的...转载 2019-10-19 19:27:06 · 400 阅读 · 0 评论 -
任意用户密码重置(四):重置凭证未校验
*本文作者:yangyangwithgnu,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析,这次,关注因重置凭证未校验导致的...转载 2019-10-19 19:26:02 · 600 阅读 · 0 评论 -
任意用户密码重置(三):用户混淆
*本文原创作者:yangyangwithgnu,属于FreeBuf原创奖励计划,禁止转载在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析,这次,关注因用户混淆导致的任意用户密码重置问...转载 2019-10-19 19:24:16 · 499 阅读 · 0 评论 -
任意用户密码重置(二):重置凭证接收端可篡改
*本文原创作者:yangyangwithgnu,属于FreeBuf原创奖励计划,禁止转载在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析,这次,关注因重置凭证接收端可篡改导致的任意用...转载 2019-10-19 19:22:47 · 319 阅读 · 0 评论 -
任意用户密码重置(一):重置凭证泄漏
*本文作者:yangyangwithgnu,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成因分析,这次,关注因重置凭证泄漏导致的任...转载 2019-10-19 19:21:09 · 440 阅读 · 0 评论