Url=https://xxxxxxxxr/internetUser/resetPassword
流程描述,首先在找回密碼頁面輸入自己的身份證號碼,點擊發送驗證碼。發送過來的驗證碼可以直接使用然後輸入新密碼、確認密碼。用burpsuite進行攔截,把身份證改成想修改的哪個人就可以更改成功了
這次案例是某公安局。。當時我都沒想到居然會有漏洞。。
簡單流程就是用我的身份證獲取的短信驗證碼可以修改任意人的密碼。前提是哪個人註冊過該系統。
Url=https://xxxxxxxxr/internetUser/resetPassword
流程描述,首先在找回密碼頁面輸入自己的身份證號碼,點擊發送驗證碼。發送過來的驗證碼可以直接使用然後輸入新密碼、確認密碼。用burpsuite進行攔截,把身份證改成想修改的哪個人就可以更改成功了
這次案例是某公安局。。當時我都沒想到居然會有漏洞。。
簡單流程就是用我的身份證獲取的短信驗證碼可以修改任意人的密碼。前提是哪個人註冊過該系統。