某日在“天天狼人杀”app玩游戏的时候,突然产生一个想法,于是就实践了一下。
不啰嗦直接开始叙述过程。
———————–我是分割线———————–
1.首先介绍一下接受测试的app“天天狼人杀”
2.点击进入app,来到主界面
3.然后点击注册,填写自己的手机号,并接受验证码。
4.收到验证码之后,就可以把上面的手机号换成其他的手机号,比如我就只改了末尾的数字,然后依然填写你接收到的验证码。
5.点击“确认信息”,自动返回到了登录界面。word天注册居然让通过了。
6.点击“登入游戏”,正常的进去了。
7.然后尝试用我自己的手机号登录,提示该账号未注册。
8.这款app的“忘记密码”功能可以修改任何一个账户的密码。在这里就不详述了,有兴趣的可以自测。
——————我是分割线——————
测试做到这兴致高昂,立刻尝试了很多网站、app的注册功能、找回密码功能。失望的发现它们没有这个漏洞,尝试了那么多次,发现它们的注册、找回密码功能与这款app的区别很大。
它们一般都把,填写 “账号” 与 “短信验证码” 分成两个页面来操作,所以在填写验证码的时候无法更改账号,也就不存在这个漏洞。
另外,从本质上来说,这款狼人杀app在做判断的时候,应该把手机号和验证码一起作为条件,也可以避免这样的漏洞。目前很多网站、app的注册也是同时把手机号、验证码一起作为条件来判断。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
