本文由掌控安全学院 - 葵先生 投稿
找到一个学校的就业信息网,
随便点击一个招聘会,并且抓包查看返回包
注意返回包中的dwmc参数,这个是公司名称,zplxr参数这个是招聘人员姓名,lxdh参数是电话号码,这几个参数后面有用
在第一张图点击单位登陆的功能
再点击忘记密码功能
这里找回密码需要单位名称和登陆的手机号了
输入后点击下一步
来到这个页面,点击发送验证码并且抓包,发现手机号的参数在最下面
这里在数据包的原来的手机号后面加个 ,自己的手机号如图
会发现自己的手机号也收到了验证码
输入上去后可直接重置密码成功
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):某大学招聘平台存在逻辑漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论