在逻辑缝隙中，恣意用户暗码重置最为常见，或许出现在新用户注册页面，也或许是用户登录后重置暗码的页面，或许用户忘掉暗码时的暗码找回页面，其间，暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成因剖析，这次，重视因用户混杂导致的恣意用户暗码重置问题。

暗码找回逻辑含有用户标识（用户名、用户 ID、cookie）、接纳端（手机、邮箱）、凭据（验证码、token）、当时过程等四个要素，若这几个要素没有完好相关，则或许导致恣意暗码重置缝隙。
事例一：经过 cookie 混杂不同账号，完成重置恣意用户暗码。
暗码找回页面 https://my.xxxx.com/pwd，用进犯者账号 yangyangwithgnu 走完暗码找回全流程。
输入用户名和图片验证码后提交：

验证为有用用户名后，体系供给手机、邮箱两种暗码找回 *** ，选用邮箱 *** ：

登录邮箱查收重置验证码：

输入重置验证码：

进入新暗码页面，输入后提交，阻拦恳求如下：

其间，PHPSESSID=dcusc1ahkn4ioqeeav9c6e0bdq、USER_ACCOUNT=yangyangwithgnu、 USER_APPID=1092 这三个参数引起我的留意。这个恳求，用于重置账号 yangyangwithgnu 暗码，那么服务端怎么知道该重置 yangyangwithgnu 而不是 yangyangwithgnu2、yangyangwithgnu3 呢？方才说的那三个参数中肯定有一个用于该意图。逐个测验发现，PHPSESSID 便是它。
这让我闻到浓郁的 cookie 混杂的滋味。大致进犯思路：首要，用进犯者账号 yangyangwithgnu 进入暗码找回流程，查收重置验证码、经过校验；然后，输入新暗码后提交，阻拦中止该恳求，暂不发至服务端，这时，PHPSESSID 相关的是 yangyangwithgnu 账号；接着，封闭浏览器的 burp 署理，新开重置流程的主页，在页面中输入一般账号 liuwei 后提交，这时，PHPSESSID 已相关成 liuwei 了；最终，康复发送之前中止的恳求，放至服务端，理论上，能够成功重置 liuwei 的暗码。
用上述思路测验将 liuwei 暗码重置为 PenTest1024，前端显现重置成功：

测验用 liuwei/PenTest1024 登录：

成功进入体系：

同理可重置管理员账号 administrator，为防止影响事务，不再实际操作。
事例二：经过篡改恳求包中的用户名参数，完成重置恣意用户暗码。
暗码找回页面 http://www.xxxx.cn/getpass.html，用进犯者账号走完暗码找回全流程，触及三步恳求，依次为：验证用户名是否存在、获取短信验证码、提交短信验证码和新暗码。第三步的恳求阻拦如下：

各参数效果从其命名可了解。测验将 accountname 参数值篡改为一般账号 zhangzhiqiang 后放行，应对为：

重定向至登录页面。用一般账号 zhangzhiqiang/PenTest1024 登录成功。
检查个人信息：

走漏用户手机号、邮箱等灵敏信息。
检查视频监控设备列表：

视频监控设备登录信息：

登录后可检查实时视频监控，隐私考量，不截图了。
别的，暗码找回流程第三步的恳求中的 vcode 参数为短信验证码，单次有用，不行复用，怎么完成主动批量暗码重置？经测验，将该参数置空，或许完好删去该参数，服务端不再校验短信验证码。

[1] [2]  黑客接单网