文章预览
扫码领资料 获网安教程 前言 在此,笔者将展示一个有趣的漏洞挖掘过程,我能够接管应用程序的任何用户帐户,甚至是管理员/员工帐户。 正文 笔者将目标网站称为 redacted.com ,现在该网站使用电话号码供用户登录,经过观察,我发现有些电话号码如 9999999999、8888888888、7777777777 …………1111111111 等 ,不需要实际身份验证,我可以使用其他 OTP 号码登录(如我的号码),它们却需要身份验证。 注:OTP (One Time Password,简称OTP),一次性口令,例如登录某些网站时需要输入手机验证码,这个验证码也可以理解为OTP的一种。 但为何上述电话号码没有经过实际认证呢? 其背后的原因是,在部署到实际生产环境之前,开发人员有时会使用一些默认电话号码,如 999999999、8888888888…… 来 立即 访问应用程序并测试内部功能, 而无需任何实际身份验证,在这种
………………………………
