某大学招聘平台存在逻辑漏洞

admin 2023年12月11日18:41:12评论22 views字数 346阅读1分9秒阅读模式

本文由掌 - 葵先生 稿

找到一个学校的就业信息网,

某大学招聘平台存在逻辑漏洞
随便点击一个招聘会,并且抓包查看返回包
注意返回包中的dwmc参数,这个是公司名称,zplxr参数这个是招聘人员姓名,lxdh参数是电话号码,这几个参数后面有用

某大学招聘平台存在逻辑漏洞

在第一张图点击单位登陆的功能

某大学招聘平台存在逻辑漏洞

再点击忘记密码功能

某大学招聘平台存在逻辑漏洞

这里找回密码需要单位名称和登陆的手机号了

某大学招聘平台存在逻辑漏洞

输入后点击下一步

来到这个页面,点击发送验证码并且抓包,发现手机号的参数在最下面

某大学招聘平台存在逻辑漏洞

这里在数据包的原来的手机号后面加个 ,自己的手机号如图

某大学招聘平台存在逻辑漏洞

会发现自己的手机号也收到了验证码

某大学招聘平台存在逻辑漏洞

输入上去后可直接重置密码成功

某大学招聘平台存在逻辑漏洞

.

原文始发于微信公众号(掌控安全EDU):某大学招聘平台存在逻辑漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月11日18:41:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某大学招聘平台存在逻辑漏洞http://cn-sec.com/archives/2272692.html

发表评论

匿名网友 填写信息