验证码爆破导致的业务逻辑问题

微信图片_20210622155212 (39)

应用场景:验证码没有设置失效时间,且请求包可无限重放(比如登录,注册,绑定,解绑,修改密码,领优惠券等实际场景)

某支付众测案例:验证码有效期过长导致银行卡与任意xx账号绑定

绑定银行卡时发现验证码4位纯数字,对captcha参数进行修改,发现提示“短信验证码不符”,说明请求可重放:

微信图片_20210804141055

应用场景:验证码没有设置失效时间,且请求包可无限重放(比如登录,注册,绑定,解绑,修改密码,领优惠券等实际场景)!

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞9 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容