记一次任意密码重置漏洞挖掘

2019-04-21 约 315 字 预计阅读 1 分钟

声明:本文 【记一次任意密码重置漏洞挖掘】 由作者 BinGdIan 于 2019-04-21 09:56:00 首发 先知社区 曾经 浏览数 187 次

感谢 BinGdIan 的辛苦付出!

0x00 简介

最近去学着挖洞,涨涨经验和见识。在某个站点挖到了几处任意密码重置漏洞。虽然对大佬们比较简单的漏洞

但对于我来说还是值得写下来。

0x01 挖掘过程

先尝试一下正确的验证码,看看响应包

ok,看响应包,应该是采用的前端验证后台响应的数据。

那接下来验证一下看能不能重置,随便输一下验证码

截一下响应包,修改响应包,将返回的数据,改为正确时返回的数据


放行

密码修改成功

0x02 总结

虽然呢,这个漏洞可能比较简单。但为了纪念我的第一次,还是决定记录下来。也算是给大家分享一下。

关键词:[‘渗透测试’, ‘渗透测试’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now