功能介绍
BindingWxUser接口用户绑定用户的微信和手机号
接口的主要细节如下:
POST /wechat/user/BindingWxUser HTTP/1.1
Host: web.sqlsec.com
{"phoneNum":"14474527001","password":"admin@123","yzm":"123456","openId":"oYE416Zzxxxxxxxxxxxxxxx8E"}
抛出现象
第一次密码输入错误,提示「账号或密码错误」:
继续使用之前的验证码,换个错误的密码输入看看,居然还是提示「账号或密码错误」:
那么输入正确的密码来看看呢,好家伙,直接提示了「用户验证码错误或已过期」
漏洞总结
很明显。这就导致一个验证码正确与否都不影响我们来穷举密码,但是当密码正确的时候,这时候才开始校验验证码是否正确。
推测整体的逻辑应该如下:
所以师傅们挖洞的时候,各种情况都得尝试一下,你永远也想不到开发者的脑回路,好了,今天的水文就到此为止了,下期见!
原文始发于微信公众号(安全小姿势):每日奇葩逻辑漏洞分享之虚假的验证码
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论