WooYun.org

找回密码有两种方式，手机和邮箱

。我肯定手机是能通过爆破的目测就是6位数字。俺不想刷了，来个邮箱找回吧。输入密保邮箱之后点击发送。然后去看我们的邮箱。http://my.xizi.com/index.php?r=members/resetpwd&code=VgRXUlBTAQ==&verify=1
nice，我发现code有点可疑啊。于是吧我就猜想了——然后验证，注册了几个小号。同样的也是找回密码发送邮件。然后对比这个所谓的code。我以为会是一样的（有个本地cookies认证）。直接复制url是不能重置密码的。不过最后还是和我的预期有带点差距啊。
VgRXUlBSAA
VgRXUlBTAQ
VgRXUlBSBg
这是3次的code。发现原来这个code是有一定的规律的。应该是每注册一个用户就按照一定有序规律生成一个code。这样当然可以枚举啊，而且很轻松。最后测试发现code的最后一个值是可以随意的！这尼玛…………
不会用软件爆破？手工慢慢吧，因为这是没有时间限制的。提示是一周内有效期，但是再发送一次就好了。每次同一个账户发送的code是一样的