领先漏洞- 国内最专业的黑客技术博客！

前景：在网易云学习的时候看到了某大型PHP网站的讲师，就浏览了一下网站，发现这是他们自己研究开发的一套CMS，就测试了一下是否某些用户交互的地方存在漏洞。漏洞详情：首先来到注册页面先填写好信息，发送验证码到目标手机，验证码是4位数的，，所以直接输入1234抓包，forword包就可以注册成功了。这里我测试：13888888888 发送到repeater，直接go就注册成功最后登录就ok了。———————————–分割线—————————–第二处漏洞(CSRF)：在会员用户修改基本资料的地方点击保存抓包利用burpsuite自带功能生成poc 这里我新开一个浏览器登陆另一个账号，也就是13888888888这个用户把poc发给该用户，用户触发页面提示修改成功，我们返回到