点击蓝字 · 关注我们
某基金管理有限公司验证码绕过
验证码绕过
https://xxxxxxx.xxxxxxxxx.com.cn/pc/h/login.action
登陆处图形验证码存在绕过导致可以无限制进行爆破,存在撞库风险。
登陆处虽然看起来有图形验证码防爆破机制,但是验证码在服务端的校验存在问题,如果将登陆数据包当中的cookie和验证码全部删除后,服务端并不会提示验证码错误,说明服务端并没有防爆破机制,并且该网站的密码限制为6位数字,密码复杂度也不高,导致存在一定的撞库风险。
0x01 抓包分析
0x02 测试
使用自己的手机号进行了测试,发现可以撞库成功。
0x03 成功
登录成功
1.验证码时效三分钟
2.限制每日登陆次数
EDI安全
扫二维码|关注我们
一个专注渗透实战经验分享的公众号
本文始发于微信公众号(EDI安全):某基金管理有限公司验证码绕过
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论