今天看一个项目的代码发现了,一个巨大漏洞。。。
找回密码功能的验证码 只是在前端 通过Ajax 做了验证,
后台的更新密码 方法 竟然 没有验证 ,,相当于是 一个只要 传入 手机号和密码就可以 更新密码的一个接口。
漏洞原因:通过短信验证码 找回密码,短信验证和更新密码 两个逻辑分开了。。。
解决方法:更新前必须 要验证,无论前端是否已经通过验证。
文章来源:刘俊涛的博客 欢迎关注公众号、留言、评论,一起学习。
__________________________________________________________________________________
若有帮助到您,欢迎点击推荐,您的支持是对我坚持最好的肯定(*^_^*)