密码重置6位数验证码绕过问题

Posted 风之传说

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了密码重置6位数验证码绕过问题相关的知识,希望对你有一定的参考价值。

记得以前密码重置刚出来的时候,四位数验证码绕过满天飞。如下:

然后,进行爆破就可以重置密码了:

后来,验证码重新设置为6位数验证码,但是如果不对过期时间进行限制,依然可以被爆破。6位数,理论上来说,有一百万种可能。在这里以个人笔记本为例,一般最大线程为200。

所以一共需要5000秒,爆破完毕。 折算成分,就需要83分钟,也就是一个多小时。虽然攻击成本上升,但是还是可以进行破解。如果用服务器破解,速度更快。

有时候主站,对爆破时间和频率进行了限制,但是一般都会设置10分钟-15分钟的过期时间。这里不讨论服务器的爆破情况。

 

但是,分站却因此而疏忽,在这里给出例子:

http://www.freebuf.com/vuls/164652.html

所以,鸡肋的未必不好用。 鸡肋的掌握多寡决定着你与他人的差距。

 

以上是关于密码重置6位数验证码绕过问题的主要内容,如果未能解决你的问题,请参考以下文章

逻辑漏洞之任意账号密码重置总结

随机密码如何变为固定的?

RADR(雷达)收不到短信验证码如何重置支付密码解放方法?

一次SRC实战 逻辑漏洞

任意用户密码重置的10种姿势

验证码以及登录模块的逻辑漏洞