发现水平越权,登录自己的账户后,可以修改别人的账户密码
测试网站
点击登录后,出现修改密码框,首先测试自己的账户,发现找回密码后,邮箱中发送回来的密码为六位数字,然后登录别人的账户时点击找回密码,进行爆破
经过两个多小时的运行等待,我发现出来了密码
像这种逻辑漏洞,主要就是看细心
发现水平越权,登录自己的账户后,可以修改别人的账户密码
测试网站
点击登录后,出现修改密码框,首先测试自己的账户,发现找回密码后,邮箱中发送回来的密码为六位数字,然后登录别人的账户时点击找回密码,进行爆破
经过两个多小时的运行等待,我发现出来了密码
像这种逻辑漏洞,主要就是看细心