• 逻辑漏洞：开发程序中，根据假设条件来执行一系列操作，假设条件设计的不够全面，程序执行多步流程时设计不到位，导致逻辑问题，使一些功能偏离了程序员的预想范围。

  ---

  密码找回漏洞的产生

• 验证码爆破的，对验证码有效期和请求次数没有进行限制；

• token验证之类，直接将验证内容返回给用户；

• 找回密码功能的进行身份验证内容未加密或者加密算法较弱，容易被猜解；

• 对用户的身份验证在前端进行，导致验证被抓包绕过；

在最后一步修改密码的动作时，没有校验账号是否通过了验证、短信、与手机号是否对应；

密码找回漏洞的修复

• 验证码爆破的，从验证码有效期和请求次数进行限制；

• token验证之类，不要直接返回给用户；

• 修改加密算法和加密内容，一定是要强加密，最好密文不可猜解；

• 用户身份验证一定要在后端实现

• 最后一步修改密码时，一定校验账号是否通过了验证、短信、手机号是否对应、发送短信与已校验账号不要使用同一个session名称

• 上线前，渗透测试