WooYun.org

先说密码重置吧
问题如下：
1.单个手机号码，每天只能接受3次重置验证码，我最先用我的手机号测试了验证码结构，得到4位随机数字，验证码太弱。
2.得到验证码，我不提交，再点发送验证码，得到一样的验证码，第三次依旧，第四次就提示每天只能三次，而且，逻辑错误是，每次验证码一样，只要上一个验证码没被使用，那么第二次第三次依旧是这个，那就有点隐患，建议是，每次验证码不一样，而且次数限制。
过程如下，得到验证码结构，那我来一次盲测。用13666666666这个号码。

手机号不知是谁，不知验证码，随便输入一个4位数，burp抓包（这里没截图，绑定那里有截图），设置好验证码参数爆破，从1000到8000，大概也就这范围了。

开始爆破，大概4分钟后，得到结果。

验证码7629，我设置到8000，好险，差点出范围。看返回信息。

可以看到结果是成功，那验证码就是这个。
但是！但是！现在直接在窗口输入验证码，会提示验证码错误，那，现在，问题1里面的逻辑就派上用场了，因为只要第一次没用，后面都一样，点击再次获取，输入7629，重置密码成功。

进去一看，原来是管理人员自己的测试帐号。

问题二、绑定手机，这个原理一样不再多说，补两张图。
我用我停机的手机卡测试，根本收不到短信的。
绑定的burp截图

认证通过。

绑定成功。

过程完。