关于网站任意密码重置漏洞的那些事儿
关于网站任意密码重置漏洞的那些事儿 目标:我们选择重置一个重置的点,比如说这个然后我们选择忘记密码这里发现4大块流程是判断用户输入的用户名验证用户的身份重置密码完成我们现在需要做的就是输入一个在数据库中存在的用户名比如:test1这时候我们发现是存在这个用户的,那么他的问题是验证码是4位的,可能存在爆破的风险,按照字典组合就是10000个爆破的点我们如果点击了获取验证码,那么验证码就可能会发送到这个手机我们先不发送先看看源代码functio...