功能介绍
BindingWxUser接口用户绑定用户的微信和手机号
接口的主要细节如下:
POST /wechat/user/BindingWxUser HTTP/1.1
Host: web.sqlsec.com
{"phoneNum":"14474527001","password":"admin@123","yzm":"123456","openId":"oYE416Zzxxxxxxxxxxxxxxx8E"}
抛出现象
第一次密码输入错误,提示「账号或密码错误」:
继续使用之前的验证码,换个错误的密码输入看看,居然还是提示「账号或密码错误」:
那么输入正确的密码来看看呢,好家伙,直接提示了「用户验证码错误或已过期」
漏洞总结
很明显。这就导致一个验证码正确与否都不影响我们来穷举密码,但是当密码正确的时候,这时候才开始校验验证码是否正确。
推测整体的逻辑应该如下:
所以师傅们挖洞的时候,各种情况都得尝试一下,你永远也想不到开发者的脑回路,好了,今天的水文就到此为止了,下期见!
原文始发于微信公众号(安全小姿势):每日奇葩逻辑漏洞分享之虚假的验证码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论