591结婚网可暴力修改用户密码 - 网站安全 - 自学

1）591结婚网用户注册认证缺陷（用户可使用任意手机号码注册，注册时无手机验证）；

 

 

2）用户只能使用手机号码注册，重置密码当然也只能使用手机咯；

 

3）输入手机号码并提交来到重置密码页面（连续3次获取安全码，确认为6位纯数字）；

 

4）在重置密码页面随意填写6位数字安全码和想重置的密码提交并抓包；

 

5）设置"six_code"然后就开始爆破吧，此处安全码本应从"100000-999999",但是碍于测试时间问题，设置测试安全码为与真实安全码较近的880000开始；

 

6） 系统 果然没有设置校验错误次数限制，我们可根据返回字节长度确定真实的安全码值；

 

7)返回抓包页面,在[six_code]参数的值替换为我们爆破的真实安全码值，go！！

 

8)使用新密码成功登陆该帐号；

查看更多关于591结婚网可暴力修改用户密码 - 网站安全 - 自学的详细内容...