【思路】挖掘密码找回漏洞常见的思路1

本文探讨了密码找回过程中常见的安全漏洞,包括验证码爆破、凭证泄露、弱token等问题,并列举了乌云平台上的实际案例,如手机号验证码、URL返回凭证、页面隐藏信息等,提醒开发者关注并加强相关安全措施。
摘要由CSDN通过智能技术生成

1 用户凭证暴力破解

常见的是找回密码的手机验证码为4位,并且服务端没有加以限制,我们可以通过爆破处验证码的方式来找回密码。

乌云案例:


当当网 wooyun-2012-011833

参考链接:http://wooyun.bug-db.com/bug_detail.php?wybug_id=wooyun-2012-011833


微信:wooyun-2012-011720

参考链接:http://wooyun.bug-db.com/bug_detail.php?wybug_id=wooyun-2012-011720

2.服务器将凭证返回到客户端

2.1 URL返回验证码以及token

乌云案例:


走秀网:wooyun-2012-05630

参考链接:http://wooyun.bug-db.com/bug_detail.php?wybug_id=wooyun-2012-05630


其他:wooyun-2010-058210

未找到相关镜像链接,有相关链接的小伙伴可以私信我,谢谢。


2.2密码找回凭证在页面中


乌云案例:

搜狐 wooyun-2012-04728

参考链接:http://wooyun.bug-db.com/bug_detail.php?wybug_id=wooyun-2012-04728


2.3服务器返回短信验证码


案例:wooyun-2010-085124</

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值