第35天逻辑越权之找回机制及接口安全

#找回重置机制
客户端回显（验证码显示在客户端），Response状态值，验证码爆破，找回流程绕过（抓包跳过验证流程）等

#接口调用乱用
来电轰炸，短信轰炸等

演示案例：

• 找回密码验证码逻辑-爆破测试-实例

• 墨者靶场密码重置-验证码套用-靶场

手机号码，新密码和验证码在同一界面，

填写手机号，得到正确验证码，再修改手机号（绕过验证）

• 手机邮箱验证码逻辑-客户端回显-实例

• 绑定手机验证码逻辑-Rep状态值篡改（判断前端还是后端验证）-实例

确定正确响应码状态，伪造正确响应码

• 某APP短信轰炸接口乱用-实例接口调用发包

抓包写循环发包

课上cms框架phpyun3.2