点击蓝字,关注我们
一次手势密码无限验证次数
某次测试一个金融小程序,找了一圈一无所获。后来盯上了“手势密码”
正常只可以输入5次
输入错误的手势密码,只剩最后1次的时候重新进入小程序,发现重新记录输入次数,那么就可以无限尝试,直到登录成功
一次小程序任意支付密码修改
在个人信息——账户安全——支付密码修改处进行抓包
将手机号更改为我们自己的手机号接收验证码
填写验证码后进行下一步
修改成功
免责声明:
本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透测试都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
原文始发于微信公众号(TimeAxis Sec):小程序逻辑漏洞实战记录
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论