前言

真实案例，文中所写漏洞现已经被修复，厚码分享也是安全起见，请各位大佬见谅哈！

案例一：奇怪的找回密码方式

某次漏洞挖掘的过程中，遇到某单位的登录框，按以往的流程测试了一下发现并没有挖掘出漏洞，在我悻悻地点开找回密码的功能并填入了基础信息之后，我发现他的业务流程与常见的安全的找回密码的方式并没有什么区别，都是需要接收到手机验证码或者邮箱验证码或者回答正确安全问题才能进行下一步重置密码。

但是敏锐的我，发现了右上角存在一个验证方式不可用？的功能，我点开发现竟然直接跳到重置认证方式里面去了：