一、背景
密码重置:常见位置在忘记密码处,根据逐一放包修改账户密码。
二、测试
通过忘记密码处进行相关验证;可看出该用户存在于该系统中。
通过该提示,进行批量爆破系统的登录用户,使用burpsuite的instruder模块进行
成功的爆破出来了以下的所有账户:
Chenliang
Lihui lijun limin liufang liuping liwei wangbo wangfang wangfeng wanghui wanghong wangli wangjun wangna zhangwei zhangyong zhoujing
推广:
1、一般我们都是通过相关提示进行用户的爆破,之后通过现有用户进行相关密码的喷洒去撞出某个用户的密码。
2、修改重置密码邮箱或手机号为其他,看是否可以任意的重置。