背景这个漏洞很神奇,可能大佬们都见过,我嘞,就是跑龙套的,记录一下这个漏洞.正文开始环境FirefoxBurpSuite过程一个网站,登录入口我们没有账号密码,所以注册一个正常的登录登录成功然后,访问...眼熟吧,没有权限.正常的网站,没有权限,我就会默默地走开,因为菜嘛,但是这个,有不得不搞的理由.继续…我们退出,从登录界面找回密码.然后..这
背景
这个漏洞很神奇,可能大佬们都见过,我嘞,就是跑龙套的...正文开始
环境
Firefox
burpsuite
过程
一个网站,登录入口
我们没有账号密码,所以注册一个
正常的登录
登录成功
然后,访问manage,
嘿!眼熟吧,没有权限....正常的网站,没有权限,我就会默默地走开,因为菜嘛,但是这个,有不得不搞的理由.继续…
我们退出,从登录界面找回密码....然后..这一步相当于,短信验证啊,乱七八糟的验证.点蓝色按钮
我们看见,验证成功,开始改密码.
在改之前,突发奇想,为什么把验证放在修改密码之前?????