漏洞處

驗(yàn)證碼問(wèn)題

1. 萬(wàn)能驗(yàn)證碼

2. 返回包中存在驗(yàn)證碼

3. 刪除驗(yàn)證碼或者cookie中的值可以爆破賬號(hào)密碼

短信轟炸

1. 一直重放

2. 刪除修改cookie，重放數(shù)據(jù)包

3. 遍歷參數(shù)發(fā)送數(shù)據(jù)包

4. 手機(jī)號(hào)后面加空格或者前面加其他的比如+86或者逗號(hào)分號(hào)等，然后重發(fā)數(shù)據(jù)包

5. 請(qǐng)求參數(shù)修改大小寫(xiě)，或者添加請(qǐng)求參數(shù)比如&id=1

6. 一個(gè)站的登陸處可能做了防護(hù)，但是再找回密碼處可能沒(méi)有安全防護(hù)，或者在注冊(cè)流程中沒(méi)有安全防護(hù)，所以說(shuō)多測(cè)試接口

7. 如果對(duì)手機(jī)號(hào)一天次數(shù)進(jìn)行了限制的話，還可以在進(jìn)行發(fā)送一次短信，DO intercept之后修改為成功回顯