Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、 File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、 SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(DOM)(基于DOM树)、 XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)
等级low
burp抓包,发现step=1,触发源码中的captcha(验证码)验证
step=1&password_new=123456&password_conf=123456&Change=Change
如果验证成功,会发生step=2,密码修改成功
burp抓包,直接改成step=2,跳过验证码验证,直接修改密码