src|简简单单验证码回显

admin 2024年11月29日14:32:44评论6 views字数 310阅读1分2秒阅读模式
前言

经常挖漏洞的应该知道,有一个漏洞叫做验证码回显,这个漏洞比较离谱,短信验证码不仅发到你手机上,还在返回包中告诉你,当你苦苦猜解验证码的时候, 蓦然回首,那码却在,返回包中。

可能说出现的概率不大,但是测试也不麻烦,只要在发验证码的地方,观察一下返回包,包括响应头和响应体,就可能发现这个漏洞。

漏洞挖掘
1、测试过程中发现这样一个功能点,输入手机号,获取验证码可以查询账号信息

src|简简单单验证码回显

2、点击发送验证码,用BurpSuite抓包

src|简简单单验证码回显

3、直接拦截该请求的响应包,在响应包中看到了一个value

src|简简单单验证码回显

4、打开手机一看,正是验证码

src|简简单单验证码回显

END
查看更多精彩内容,关注simple学安全

原文始发于微信公众号(simple学安全):src|简简单单验证码回显

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月29日14:32:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   src|简简单单验证码回显https://cn-sec.com/archives/3449207.html

发表评论

匿名网友 填写信息