每日奇葩逻辑漏洞分享之虚假的验证码

国光 安全小姿势 2024-01-23 18:18

功能介绍

BindingWxUser接口用户绑定用户的微信和手机号

接口的主要细节如下：

POST /wechat/user/BindingWxUser HTTP/1.1
Host: web.sqlsec.com

{"phoneNum":"14474527001","password":"admin@123","yzm":"123456","openId":"oYE416Zzxxxxxxxxxxxxxxx8E"}

抛出现象

第一次密码输入错误，提示「账号或密码错误」：

继续使用之前的验证码，换个错误的密码输入看看，居然还是提示「账号或密码错误」：

i

那么输入正确的密码来看看呢，好家伙，直接提示了「用户验证码错误或已过期」

漏洞总结

很明显。这就导致一个验证码正确与否都不影响我们来穷举密码，但是当密码正确的时候，这时候才开始校验验证码是否正确。

推测整体的逻辑应该如下：

所以师傅们挖洞的时候，各种情况都得尝试一下，你永远也想不到开发者的脑回路，好了，今天的水文就到此为止了，下期见！