淺析一次任意使用者註冊漏洞挖掘過程
漏洞發現
輸入手機號,點擊發送驗證碼,發現驗證碼只有4位數字,我的經驗告訴我,此處有一定概率存在任意使用者註冊漏洞。
漏洞利用
輸入手機號,點擊發送驗證碼,再依次輸入驗證碼(此處隨便輸入,方便抓包)和密碼,用BurpSuit抓包,並嘗試驗證碼爆破。
最終成功註冊。
漏洞修復
1.驗證碼設定為6位數。
2.對驗證碼校驗做限制,如輸錯5次則要求輸入圖片驗證碼。
3.對同一個手機號,只允許有限次的錯誤校驗。
想學習更多網路安全的知識,可以關注公眾號“SCLM安全團隊”。
相關推薦
淺析一次任意使用者註冊漏洞挖掘過程
漏洞發現 輸入手機號,點擊發送驗證碼,發現驗證碼只有4位數字,我的經驗告訴我,此處有一定概率存在任意使用者註冊漏洞。
記一次眾測專案漏洞挖掘
好久沒寫文章了,那今天就分享一下最近的關於某眾測平臺專案挖掘文章涉及漏洞已交由相關平臺
獲取office辦公軟體最後一次儲存者值
最後一次儲存者 LastAuthorStgOpenStorageEx IPropertySetStorage ReadMultiple 檔案的詳細資訊如圖
記一次Spring @Transactional失效的排查過程
問題 壓力測試時發現生成了相同的序號,根據日誌分析發現select ... for update沒有鎖住某一行的資料,從而導致序號重複
記一次"記憶體洩露"排查過程
問題的發現 今天發現線上一個應用記憶體佔用非常高,但它的cpu使用率卻很低
記一次釋出/更新npm包的過程及包版本管理
您可以釋出包含package.json檔案的任何目錄。這裡如何首次釋出程式包以及如何在以後更新程式包。
記一次堆外記憶體洩漏排查過程
一、專案介紹 lz_rec_push_kafka_consume該專案通過kafka與演算法進行互動,通過push推薦平臺(lz_rec_push_platform)預生成訊息體。
記一次內網建站的過程
背景: 一直想搭建個人的部落格,但是買雲伺服器一年動則幾千少則幾百,想到家裡有一臺空閒的筆記本,於是乎想到了內網穿透~
記一次粗淺的釣魚樣本分析過程
0x00 前言 一切的一切要從(盤古開天闢地)幾個月前的某大型網安活動期間說起。話說當時一位素未謀面的基友給在下發了一個疑似釣魚的樣本,說是讓我試試看下能不能溯源出攻擊方。於是雖然作為一名萌新,此前也從未接
記一次word轉pdf的開發過程及思考
需求介紹 因付費客戶需要,要實現一個批量生成商務檔案pdf的功能,客戶通過excel文件匯入業務資料,要求根據業務資料的編號將不同資料分組,每一組的資料填充生成一個檔案pdf,pdf的模板樣式由客戶提供word版本,最
使用jvisualvm排查一次記憶體溢位(OOM)過程
記憶體溢位在開發中或者線上出現的概率很高,造成的直接原因就是系統執行緩慢,或者直接宕機了。
記錄一次遷移Apollo Server V3的過程
前言 Apollo Server V3出來也快半年了,是時候把express-postgres-ts-starter的graphql部分升級了。
記一次Linux安裝EMQX服務的過程
背景:近期由於公司專案原因,要接通第三方供應商門禁閘機系統,由公司這邊程式控制閘機的開啟或關閉。於是經過溝通,公司這邊伺服器需要搭建MQTT物聯網服務,實現兩邊資料互通。至於MQTT協議是什麼,感興趣的同學可
一次詭異的記憶體洩露排查過程,背後原因令人深思
每天進步一點點,關注我們哦,每天分享測試技術文章 本文章出自【碼同學軟體測試】
記一次伺服器被挖礦處理過程!
記一次伺服器被挖礦處理過程 首先利用watch -n 1 nvidia-smi 命令檢視GPU程序時發現幾張顯示卡佔用率都是100%
記一次漫長的藍屏處理過程
2022年5月9日 星期一 事情前奏 一臺神舟K670E-G6E3的膝上型電腦,18年入手一直沒出現過什麼問題。想著用的時間久了清一下灰,換個矽脂。
記一次繞過驗證碼次數限制漏洞挖掘
漏洞發現 點選登陸,輸入手機號,點發送驗證碼,彈出對話方塊要求輸入圖片驗證碼,我輸入後用BurpSuit攔截請求繼續重放,發現後臺應該沒有校驗圖片驗證碼,一樣可以傳送。
記一次針對惡意攻擊者的滲透測試
背景 最近在梳理hw期間的文件,發現期間上報的攻擊者IP,心裡就有了個壞心思,想連上去看看這些攻擊者的機器什麼樣子,於是便有了這篇文章。
一次失敗的漏洞組合利用
一次失敗的漏洞組合利用 翻了翻已經積滿灰塵的txt文件,發現一個權重還算比較高的站點,舔了舔嘴脣,已經餓了三天了,再不來一點洞真就餓死了。
《Web滲透與漏洞挖掘》讀書筆記 (一)
什麼是漏洞 漏洞是指一個系統存在的弱點或缺陷,系統對特定威脅攻擊或危險事件的敏感性,或進行攻擊威脅的可能性。漏洞可能來自應用軟體或作業系統設計時的缺陷或編碼時產生的錯誤,也可能來自業務在互動處理過程中