本文由掌控安全学院 - 葵先生 投稿
找到一个学校的就业信息网,
随便点击一个招聘会,并且抓包查看返回包
注意返回包中的dwmc参数,这个是公司名称,zplxr参数这个是招聘人员姓名,lxdh参数是电话号码,这几个参数后面有用
在第一张图点击单位登陆的功能
再点击忘记密码功能
这里找回密码需要单位名称和登陆的手机号了
输入后点击下一步
来到这个页面,点击发送验证码并且抓包,发现手机号的参数在最下面
这里在数据包的原来的手机号后面加个 ,自己的手机号如图
会发现自己的手机号也收到了验证码
输入上去后可直接重置密码成功
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):某大学招聘平台存在逻辑漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论