有session也不能阻止爆破的节奏。

详细说明:

问题关键点:主站登录处没有次数限制,而且有session限制每个session只能提交10次,后面就失效,貌似是这样滴,所以对于爆破限制很大,溯雪也不能提交表单,只好祭出brup,用户用手机重置密码,这次不是验证码了,直接给密码,4位随机数,让用户登录后修改。这个就给了充足的时间。

没仔细研究代码,等下去看看逻辑,不多说,看图。

1:主站登录,抓包,看到这样的东西,虽然经过编码,brup还是认出来了。

乐淘网任意用户密码重置

我尝试在主登录界面来爆破,最终发现提示,没个session只有10次机会,只好作罢。

我重置密码得到的是5xxx

乐淘网任意用户密码重置

此时用溯雪,也不行,不能抓取到表单,尼玛这根本就不是表单。

屌丝难道就此放弃?ON!

找到另一个登录口,wap!

乐淘网任意用户密码重置

这里一看就觉得有问题,密码直接说text-type,然后代理brup抓包。

乐淘网任意用户密码重置

乐淘网任意用户密码重置

设置好标记,以前剑心说我不严谨,我这里测试了三次,第一次,用10个密码跑,也就是5X00到5X10 结果跑出来了,但是这不够,万一还是限制10次呢,第二次,一百个密码跑,也跑出来了,现在为了更准确,也尽量节约时间,我设置1000个密码。

乐淘网任意用户密码重置

然后提交完了之后看到。



乐淘网任意用户密码重置

看来确实是没限制了,这下就可以拿基友的帐号测试了。

修复方案:

密码找回逻辑有点小问题,太短,第二,主站登录最好还是加上验证码,因为哪怕每次10个,还是用不了多久,也能突破,第三,wap登录做好限制。过年了,求礼物,瓦咔咔