登录、密码找回

1. 短信/邮箱验证码可暴力破解：验证码4位(失效时间大于1小时)、验证码6位(失效期很长)
2. 验证按重复使用：验证码使用次数大于1次
3. 短信炸弹：接口重放可无限制发送短信
4. 本地验证码绕过：验证码在js里面/验证码在请求包中
5. 验证码回传：验证码在响应数据包里
   修复建议：验证码要放在服务端校验
6. 验证码未绑定用户：A手机验证码，B手机号可以用
7. 接口参数修改：A账号找回，拦截请求包修改成B，B收到正确验证码，成功修改A
8. 同时向多个账户发送凭证：发送A同时发送给B
9. 修改响应包：把错误改为正确，就可执行下一步操作
   修复建议：不要在前端利用服务端返回的值判断是否可以修改密码，要把整个校验环节交给 服务端验证。
10. 跳过验证码步骤：绕过中间步骤，直接访问下一步地址
    修复建议：防止跳过验证步骤一定要在后端逻辑校验中确认上一步流程已经完成
11. 凭证可预测：基于时间戳生成的token、递增、关键字等规律。如(base64、md5加密、时间戳、服务器时间)
    修复建议：密码找回的Token不能使用时间戳或者用户邮箱和较短有规律可循的数字字符，应当 使用复杂的Token生成机制让攻击者无法推测出具体的值
12. Session覆盖：用自己账号进行密码找回，在输入新密码界面时停住。浏览器打开新标签再使用目标账号进行密码找回，此网站session已经重置为目标账号，刷新之前输入新密码界面，找回账号已是目标账号。
    修复建议：session覆盖类似于账号参数的修改，只是以控制当前Session的方式篡改了要重置密 码的账号，在重置密码请求中一定要对修改的账号和凭证是否一致做进一步的校验
13. 注册覆盖：注册时提示账号已存在，抓包修改再提交，覆盖原有密码