密碼找回的方式：

1. 第一種就是找回密碼，往郵箱發(fā)送明文密碼或者驗證碼(手機短信驗證就是往你手機號碼發(fā)驗證碼)，通過這樣的方式來判斷是否是本人。

2. 第二種是發(fā)送一個重置密碼的鏈接到郵箱。

那么上述的密碼找回會造成什么樣的漏洞呢？

1.驗證碼發(fā)送之后在前端返回，比如抓一個包，驗證碼會在你提交數(shù)據(jù)后返回一個待驗證碼的數(shù)據(jù)包

2.驗證碼無次數(shù)限制，可爆破

3.驗證碼可控

4.直接修改密碼頁面，類似于未授權(quán)訪問（賬號提交給了你cookie復(fù)制，經(jīng)過第二步獲取驗證碼，驗證碼驗證通過之后跳轉(zhuǎn)修改頁面,修改密碼），這里的邏輯漏洞存在于每當(dāng)提交了獲取驗證碼之后，直接去訪問修改密碼的頁面。

5.缺失的身份驗證，綁定別人的賬號到自己的手機

6.越權(quán)漏洞