7、浏览器两个页面之间的跳转。例如我用正确的手机号码和验证码到了输入新密码的界面,停住,然后再开个页面,随便输入用户,然后获取验证码,这时候,再刷新下输入新密码的界面。如果新密码界面url可以修改关于用户信息就修改,没有就刷新。
8、修改用户ID,这个很简单。但通常要观察被加密之后的数据,用户ID通常会被加密,仔细观察,可以通常自己两个用户来测试下。直接修改ID的漏洞,不多了,观察加密过后的数据,或许就是加密过后的用户ID
7、浏览器两个页面之间的跳转。例如我用正确的手机号码和验证码到了输入新密码的界面,停住,然后再开个页面,随便输入用户,然后获取验证码,这时候,再刷新下输入新密码的界面。如果新密码界面url可以修改关于用户信息就修改,没有就刷新。
8、修改用户ID,这个很简单。但通常要观察被加密之后的数据,用户ID通常会被加密,仔细观察,可以通常自己两个用户来测试下。直接修改ID的漏洞,不多了,观察加密过后的数据,或许就是加密过后的用户ID
Copyright © 2018 - 2021 www.yd166.com., All Rights Reserved.