是谁?导致200+网吧用户信息泄漏 北京网络安全培训
i春秋(ichunqiu.com)网络安全平台能提供专业的网络安全技术、网络渗透技术、网络安全攻防技术,还能提供网络渗透培训、网络安全工程师培训,是一家线上网络安全教育培训中心, 致力于培育安全人才和信息时代的安全感;爱春秋网络安全培训中心提供最新的网络安全视频和最先进的信息安全技术知识,为网络安全培训课程提供一个贴近实际环境的安全实验平台。爱春秋,更安全!
0x01 密码找回逻辑测试一般流程
首先尝试正常密码找回流程,选择不同找回方式,记录所有数据包
分析数据包,找到敏感部分
分析后台找回机制所采用的验证手段
修改数据包验证推测
0X02 漏洞实例
目标就是这个网站
看到此处有一个忘记密码 点进去
点进去直接有admin的帐号 我们就直接把admin当目标看看咯
发现需要邮箱验证 而且还要输入邮箱就翻翻源代码 源代码中有emailhi的数据
就把邮箱输入进去 打开我们的burp 抓包改包
看到这个邮箱 我们把这个邮箱修改成自己的
改好之后就发包成功收到短信
接下来就重置密码咯
重置成功了 但是登陆还需要验证码
继续翻源代码
成功找到了验证码
200多家网吧
如果想成为网络安全人才并掌握网络安全技术,就来i春秋学习(www.ichunqiu.com),一分钟后咱们见面!
