不清除数据怎么快速试出手机密码,怎样找回自己的app密码

在移动互联时代,每个人的智能手机上都安装了各种各样的 APP,那我们在使用这些 APP 的时候都会用到找回密码这个功能,这个功能极大的方便了用户,但是如果这个功能没有做好,或者对于测试工程师来说,如果没有对这个功能测试好,也会造成一些严重的后果,比如,任意用户密码重置,用户数据泄露等一系列安全问题。这个看起来很简单的功能,却被开发工程师挖了很多坑,我们一不小心就会掉下去。下面我们就一起探讨一下,APP 找回密码这一功能中的那些坑。

APP 端的手机找回密码流程通常如下:输入手机号-获取短信验证码-设置密码如下图:

图 1:

不清除数据怎么快速试出手机密码,怎样找回自己的app密码

坑 5:验证码的提交频率没有做相应的限制

对于验证码其实我们还应该这样测试:

故意输入一个错误的验证码,然后不断点注册,查看 APP 反应。如果 APP 一直提示验证码错误。意味着这个 APP 没有限制提交次数.那验证码这一块就会存在一个可以被别人破解的风险。

如果验证码是四位,那最多请求 9999 次,就可以破解验证码.如果是 6 位,那时间会长些,但那只是时间问题。

也许你会说,我的验证码有时效如 4 位的验证在 120 秒后就失效。你请求 9999 次

会用多久?同学你也许忘记了,现在借助工具 4 位的验证码,一般几秒钟就可以破解了。所以对于这个问题,应该限制用户的提交频率。

本文来自作者:W颖儿,不代表小新网立场!

转载请注明:https://www.xiaoxinys.cn/451642.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。