文章总结： 本文通过实战案例揭示某网站密码重置功能存在逻辑漏洞：后端在提交新密码时未校验重置令牌且允许篡改用户名，导致攻击者可在删除令牌参数后修改任意用户密码，从而接管账户。该漏洞属于令牌校验缺失与用户名可篡改的组合型业务逻辑缺陷，全程使用Burpsuite演示操作流程。 综合评分： 78 文章分类： web安全,漏洞分析,实战经验

【登录背后的秘密-第七章第一节】我删掉了密码重置令牌，结果网站还是让我改密码……

原创

升斗安全XiuXiu 升斗安全XiuXiu

升斗安全

2026年4月15日 07:55 广东

在小说阅读器读本章

去阅读

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

你有没有想过，密码重置功能反而可能成为账户安全的“后门”？本文将通过一个真实案例，带你一步步发现某网站密码重置机制中的逻辑漏洞——即使没有令牌验证，也能轻松接管他人账户。全程实战操作，零门槛上手，非常适合漏洞赏金猎人练手。

你正在用 BurpSuite 抓包测试一个网站的密码重置流程。先别急着扫漏洞，咱们从一个最常规的操作开始：

1. 打开浏览器代理，确保 BurpSuite 跑着。点击“忘记密码？”链接，输入你自己的账号名。
2. 接着点“邮件客户端”按钮（或者你设置好的收信方式），查看系统发来的密码重置邮件。你会看到邮件里有一个特殊链接，点击它，就能把密码改成你想要的任意值。

好，现在密码已经改了，但这只是常规功能。真正的“好戏”还在后头。

切回 Burp 的 代理 > HTTP 历史记录，翻一翻刚才密码重置过程中产生的请求和响应。你会发现一个关键点：

重置令牌是以 URL 查询参数的形式出现在邮件链接里的，比如 ?temp-forgot-password-token=xxxxx。

然后你提交新密码的时候，Burp 抓到了这样一个请求：

POST /forgot-password?temp-forgot-password-token=xxxxx

请求正文里还有一个隐藏字段 username，值是你自己的账号。

把这个请求右键发送到 Repeater。

在 Repeater 里试着删掉 URL 里和请求正文中的 temp-forgot-password-token 参数值——比如变成 ?temp-forgot-password-token= 或者干脆删掉这个参数。

神奇的事情发生了：密码还是成功修改了。

这说明什么？后端在接收新密码时，根本就没校验这个令牌！令牌只是用来“开门”的，但进门之后，门卫就睡着了。

既然这样，我们就可以搞点事情了。

回到浏览器，再发起一次正常的密码重置（还是用你自己的账号）。收到邮件后，把修改密码的请求再次发到 Repeater。

这次，在 Repeater 里：

删除 URL 和请求正文中的 temp-forgot-password-token 参数。

把 username 从你自己的名字改成目标用户，比如 carlos。

设置一个新密码（比如 hacked123），然后发送请求。

服务器没拒绝，直接接受了。

最后一步，打开浏览器，用 carlos / hacked123 登录。

进到“我的账户”页面，恭喜——你成功接管了他的账户。

这个漏洞本质上是令牌校验缺失 + 用户名可篡改的组合，属于经典的业务逻辑漏洞。很多网站只重视重置链接的“生成”环节，却忽略了“提交新密码”环节的二次验证，最终酿成大祸。

关注我，不定期更新真实漏洞挖掘过程、Burpsuite 骚操作、赏金猎人必备技巧。觉得内容有用，别吝啬你的点赞以及跟好友的分享哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：升斗安全 升斗安全XiuXiu 升斗安全XiuXiu《【登录背后的秘密-第七章第一节】我删掉了密码重置令牌，结果网站还是让我改密码……》