应用场景:验证码没有设置失效时间,且请求包可无限重放(比如登录,注册,绑定,解绑,修改密码,领优惠券等实际场景)
某支付众测案例:验证码有效期过长导致银行卡与任意xx账号绑定
绑定银行卡时发现验证码4位纯数字,对captcha参数进行修改,发现提示“短信验证码不符”,说明请求可重放:
应用场景:验证码没有设置失效时间,且请求包可无限重放(比如登录,注册,绑定,解绑,修改密码,领优惠券等实际场景)!
tips:sand之后出现提示”短信验证码不符“ ,则说明请求可重放,可发送至intruder模块尝试爆破。
