码迷,mamicode.com
首页 > 其他好文 > 详细

【高危】XX网任意账户登陆

时间:2018-01-18 16:56:03      阅读:105      评论:0      收藏:0      [点我收藏+]

标签:限制   次数   一个   bsp   就是   重复   log   登陆   登录接口   

  该网站的任意登录其实都已经提交得差不多了,本来以为这个漏洞会是一个重复的,然而试了一下发现思路奇葩。

  任意登录,一般都为验证码爆破,4位手机验证码,而用于拦截的图片验证码没有或者可以重复使用,所以就能爆破。测试的话,也只需要截取数据包,然后将验证码intruder一下,看返回的内容是否都是密码错误,如果intruder一定次数后显示验证次数过于频繁,就没法爆破了。或者是intruder的时候,刚开始爆破的那几个验证码肯定是会返回密码错误的长度,之后如果Length全都变成另一种,多半就是次数被限制了。

  说回这个漏洞,这个漏洞的精彩之处在于,不是通过一般的登录接口登录的,而是这样一个流程:

  1. 提交申请

  2. 在申请表中验证手机号

  3. 验证成功后->申请提交了->顺便也就登录了

 

而在申请表验证手机号的时候并没有做爆破限制,所以这是个有点奇特的爆破,找到一个别人没有找到的登录口。

 

-875

【高危】XX网任意账户登陆

标签:限制   次数   一个   bsp   就是   重复   log   登陆   登录接口   

原文地址:https://www.cnblogs.com/huim/p/8310402.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!