怎么找回appapp id密码找回我的app蜜码在开机的时候到现在忘了、怎么找回来?

来源:蜘蛛抓取(WebSpider) 时间:2017-10-30 15:31 标签: 苹果app密码找回
关注51Testing
APP测试之找回密码
发表于: 09:09 &作者:MichaelG & 来源:51Testing软件测试网原创
推荐标签:
  在互联时代,每个人的上都安装了各种各样的APP,那我们在使用这些APP的时候都会用到找回密码这个功能,这个功能极大的方便了用户,但是如果这个功能没有做好,或者对于工程师来说,如果没有对这个好,也会造成一些严重的后果,比如,任意用户密码重置,用户数据泄露等一系列安全问题。这个看起来很简单的功能,却被开发工程师挖了很多坑,我们一不小心就会掉下去。下面我们就一起探讨一下,APP找回密码这一功能中的那些坑。  APP端的手机找回密码流程通常如下:输入手机号-获取验证码-设置密码  如下图:  图1:  图2:  坑1:验证码没有和手机号绑定  测试过程:找回密码时,输入自己的手机号点获取验证码,此时验证码会发到自己手机上,输入获取到的验证码,这个时候再修改手机号为B(B也是注册用户),点下一步进行设置密码。查看是否可以重置成功。实际测试过程中,某些APP竟然可以重置成功。也就是说用自己的手机获取的验证码,重置了用户B的密码。这个坑是个明显的逻辑漏洞,很明显程序并没有把验证码和手机号进行绑定,只要验证码是合法的,就可以重置任意用户的密码,一个小小的逻辑错误,导致了一个严重的后果,如果做为测试人员,没有测试出这样的问题,在市场上让用户反馈回来,是否会追究我们的责任,这还得看老板的心情。感觉这样的开发人员一定和测试有仇,要不怎么会挖个这样的坑。  坑2:短信验证码出现在返回的数据包中  大家都知道,一般我们APP客户端和服务器交互走的都是HTTP或者HTTPS协议。对于HTTP协议来说,我向服务器发送一条请求信息,那服务器必返回一条响应信息。而发送给用户的验证码,竟然也在服务器返回的数据包中。那意味着任何人都可以获取到这个验证码,有了验证码就可以重置密码。此时验证码形同虚设,重置别人的密码变得如此简单,你怕不怕?  测试过程:这个测试过程要借助抓包工具,这样的工具很多,大家可以随意选择。我这里用的是Fiddler ,首先设置手机代理上网,手机网络应和电脑处于同一个WIFI下面,代理端口设置成和Fiddler上和端口一致。具体设置教程可自行网上搜索,设置好后,启动APP,进行抓包。  & ... ... &&查看全文内容,请点击下载:版权声明:51Testing软件测试网及相关内容提供者拥有内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。
搜索风云榜
( 10:45:51)
设置新密码的时候,不应该会有修改手机号的一项把
( 10:00:38)
( 16:08:42)
gfdg df ds f
( 15:28:34)
我有个疑问,坑1的意思是说,A用户在登录状态,使用找回密码功能,填写B用户的手机号,并且填写B手机号的验证码,把B用户的密码做了修改,是这样的吗?还是说填写B用户的手机号进行验证,修改**拿苈耄

我要回帖

更多关于 苹果app密码找回 的文章

 

随机推荐