代码审计的艺术系列 第十二篇

0x00 背景

最近国外漏洞披露平台hackerone上,一位白帽子发现Uber 一修改任意账户密码的逻辑漏洞,获得了$10000美元的奖励。

所以如何通过代码审计来挖掘逻辑漏洞是安全研究人员和开发人员必须熟悉的技能。本篇将主要讲解代码审计中的任意用户密码重置的安全问题。

腾讯云搭建Moodle网络课程平台

起因及原由:

善良体贴又美丽大方的Miss Li老师给我找了个活干,说让我帮某学院的某老师打理下Moodle平台。我当时一脸懵逼,Moodle?啥玩意儿啊?因为(google 你懂的)所以baidu了一下,得出: