首先在一个网站个人信息这里:
先点击获取验证码–抓包(BrupSuite):
可以看到他是以GET传参发送验证码的:
然后我访问构造的URL:
http://xx.xxxx.cn/myaccount/getCode/telNum/15555555555
发送成功是:
{“flag”:“1”,“msg”:“验证码发送成功!”}
失败是:
{“flag”:“0”,“msg”:“发送失败,30秒后再发送!”}
然后我们再抓包:进行Intuder**:(**手机号后四位:)
然后查看Repeater:
他回显:
{“flag”:“1”,“msg”:“验证码发送成功!”}
说明存在漏洞!
Power_Liu
Qq:211124332
欢迎大佬们找我讨论技术