一、环境搭建
在我的资源中下载:phpyun-存有逻辑漏洞验证码泄露的源码包
使用phpstudy搭建phpyun,搭建完成后,短信设置为下图所示,即可。
二、漏洞1——验证码泄露
环境搭建成功后,注册一个普通账号,注册完账号点击登录,在账户管理的位置绑定手机
在绑定手机的位置,可以导致绑定任意手机号。
随意输入一个手机号码1785554444,密码:123456,点击 保存,并且使用burpsuite抓取数据包
在发送验证码数据包的COOKIE字段,泄露了验证码:moblie_code=677990
只需要将传输数据code=123456修改为677990,就可以成功绑定手机号
更多web安全工具与存在漏洞的网站搭建源码,收集整理在知识星球。