游天下可暴力重置密码 - 网站安全 - 自学php

游天下可暴力重置密码，只要知道手机号即可，刷分的漏洞，但也是漏洞，厂商其实可以多多关注wooyun，相同功能的漏洞都差不多

先截个图，这个报错不知道为什么

手机找回密码

然后截取这个界面的post数据

参数化验证码

暴力破解

成功了，登录

修复方案：

验证码设置错误验证10次就失效，看你们网站用户信息应该也算重要的，手机好获得这个太简单了

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did14297

更新时间：2022-09-13 阅读：39次