本來想重置任意使用者密碼的...萬惡的驗證碼啊...
就拿自己剛註冊的賬號做測試...
登陸時候直接點忘記密碼,來到密碼找回頁面...
填入使用者名稱,下一步,需要輸入使用者手機號,但是由於只隱藏了4位數字,這裡由於沒有錯誤次數限制,可以抓包暴力猜解到真實的手機號碼,如下圖...
由於只有4位數字,所以速度還是很快的,很輕鬆就可以得到使用者的手機號碼...
其實這個是小問題...
不過畢竟洩露的是使用者的隱私...萬一被不法分子利用呢...發個中獎詐騙資訊等等...
或者社工等等...
修復方案:
最好有個錯誤次數限制什麼的吧...
(生鮮專案)18 使用者手機號註冊
第一步 前期分析 可見,前端會post過來三個字段,所以這裡我們應該使用mixins.createmodelmixin 由於我們自定義的userprofile中只有name是必填字段 注意 django自帶的user中username是必填字段 所以我們可以在serializers.py中使用ser...
PHP獲取微信使用者手機號
code input post.code encrypteddata urldecode input post.encrypteddata 前端需要用encodeuricomponent加密 iv input post.iv 首先 我們拿code去curl獲取到使用者的資訊 openid,sessi...
小程式獲取使用者手機號
wx.login 成功 後拿到code,攜帶引數 code 傳送 post 請求到後台拿到openid和session key var that this wx.login success function res 返回成功示例 儲存返回的openid session key 二 getphonen...