简述密码找回漏洞

密码找回漏洞

0x00.用户凭证暴力破解

即发来的验证码可以通过爆破的方式进行破解（四位或六位纯数字）

0x01.返回凭证

在忘记密码的某些地方发送数据，抓包找线索

url 返回验证码及 token

• 通过抓包等方式找到可疑的地方

密码找回凭证

• 网上申诉的密保问题可能会在数据包或者是页面源代码里边

• 并且可以通过只输入账号，或者手机号等单一信息来看服务器返回什么