小迪安全学习笔记--第35天--逻辑越权之找回机制及接口安全

找回重置机制

客户端回显：验证码会在客户端中看到

response状态值：验证码是否正确能在前端页面中看到

验证码爆破：纯数字而且比较简单，那么就可以被爆破

找回流程绕过等：步骤存在可以被绕过的漏洞

接口调用乱用

短信轰炸：

来电轰炸：

演示案例:

找回密码验证码逻辑-爆破测试-实例

墨者靶场密码重置-验证码套用-靶场

手机邮箱验证码逻辑-客户端回显-实例

绑定手机验证码逻辑-Rep状态值篡改-实例

某APP短信轰炸接口乱用-实例接口调用发包