任意用戶密碼重置（二）：重置憑證接收端可篡改

*本文原創作者：yangyangwithgnu，屬於FreeBuf原創獎勵計劃，禁止轉載 在邏輯漏洞中，任意用戶密碼重置最爲常見，可能出現在新用戶註冊頁面，也可能是用戶登錄後重置密碼的頁面，或者用戶忘記密碼時的密碼找回頁面，其中，密碼找回功能是重災區。我把日常滲透過程中遇到的案例作了漏洞成因分析，這次，關注因重置憑證接收端可篡改導致的任意用戶密碼重置問題。 密碼找回邏輯含有用戶標識（用戶名、用戶

>>阅读原文<<