1.     邮箱密码找回

1.1  伪造链接

链接中存在用户id可控，base64等简单加密方式，可以进行链接伪造和更改id进行任意密码修改。如图，可对u参数进行修改。

1.2  host头攻击

程序使用用户可控的host参数

可以看到能到成功发出邮件

在自己的服务器做好http记录就可以等用户自己去点击链接，你就可以得到他的参数，自行修改url修改他的密码了。

参考链接：https://pockr.org/bug/detail-v1?no=CZUR201803000013

2.     手机短信验证码找回

2.1  验证码在服务端直接返回（现在不常见了）

2.2  短验证码：

4位验证码没有爆破限制，可以进行爆破（有一些存在图形验证码可进行置空绕过和不刷新绕过），还有一些存在万能验证码的情况。

2.3  缺乏验证

2.3.1      对手机号缺乏验证

①发送手机验证码时抓包，对手机号码进行修改，依然可以收到验证码，并可以使用。

②发送手机验证码时抓包，对号码进行或运算，两个号码都能接收到验证码，并可以使用。

2.3.2      对验证码验证缺乏

对于验证码只进行一次验证，修改服务器返回包进行绕过之后进行密码修改。

2.3.3      原密码验证不足

有些网站登陆进去存在密码修改，但没有原密码验证且id可控，对id进行更改可进行密码修改

同样还是这个网站，后续增加了原密码验证，但是将原密码参数删除，又可以进行密码修改。

2.3.4      验证不足

一个账号进行正常流程找回密码，到重置密码啊处保留页面，新开一个页面找回受害者账号密码

这时回到先前的页面进行密码重置，并且可以成功登陆受害者的账户

3.     用户名密码找回

大多进去也都是提示使用邮箱或手机找回，有一些是用安全问题找回的，进行修改返回包看能否绕过。

文章来自Backer Talk原创作者 - honnycy，如需转载需注明作者及本文链接

【Backer Talk】BSRC白客说栏目专注于安全知识分享，长期向安全爱好者征集漏洞分析、漏洞挖掘姿势分享等安全相关内容，欢迎惠赐作品！详情点击