weixin_47228887的博客

原创 Authentication_Vulnerabilities

但是，如果您输入两个不同的新密码，则错误消息只是指出当前密码不正确。如果你输入了一个有效的当前密码，但输入了两个不同的新密码，则消息会说新密码不匹配。如果你输入了一个有效的当前密码，但输入了两个不同的新密码，则消息会说新密码不匹配。思路就是根据更改密码的时候，重置密码两次不一样，但是当前密码正确，回显得不一样，进行爆破猜解。思路就是根据更改密码的时候，重置密码两次不一样，但是当前密码正确，回显得不一样，进行爆破猜解。3、基于时间的响应，例如网站只在正确的用户名，在后端多进行处理，导致的时间不一样。