Vulnerabilidad de restablecimiento de contraseña (anulación paralela)
Utilizando lagunas lógicas, solo verifica la autenticidad del código de verificación por SMS, pero no verifica la relación vinculante entre el número de teléfono móvil y el código de verificación por SMS. Con el número de teléfono móvil 18868345809, puede obtener el código de verificación por SMS A. El número de teléfono móvil a restablecer es 17101304128. Al restablecer, complete el número de teléfono móvil 17101304128 y el código de verificación por SMS A. Dado que el número y el código de verificación A son reales, pero la relación entre los dos no se ha verificado, el restablecimiento se realizó correctamente.
Según el mensaje de la pregunta, supe que el número de teléfono móvil del prisionero es 17101304128. Use el teléfono móvil para recuperar la contraseña, envíe el código de verificación al número de teléfono móvil y reciba el código de verificación p>
Hay otro mensaje en la pregunta: El número de teléfono móvil registrado es: 18868345809
Imagínese, ¿puedo usar el número de teléfono móvil del prisionero para restablecer la contraseña y luego hacer clic para obtener la ¿Código de verificación por SMS?
La captura del paquete es la siguiente
Modifica el número de teléfono y reemplaza el número de prisionero con un número registrado para obtener el código de verificación y restablecer la contraseña
Reemplace el número y haga clic en adelante
Volver a la página, puede ver que se ha enviado el código de verificación
Obtenga la clave.