电商类漏洞

 

5.1验证码回传漏洞

抓取response数据包检查信息。

 

5.2任意用户注册漏洞

　　第一步，利用自己的手机号接收验证码进行验证，下一步跳转到一个设定密码的页面

　　第二步，抓包，篡改手机号，使用任意手机号进行注册

 

5.3短信轰炸

第一种，有一定时间间隔，无限下发。

第二种，无限制，无限下发。

 

5.4暴力破解

暴力穷举的方式大量尝试性的猜破密码。

 

5.4业务一致性安全

通过抓包修改手机号码参数为其他号码尝试获取信息

例如在办理查询页面，输入自己的号码然后抓包，修改手机号码参数为其他人号码，查看是否能查询其他人的业务。

邮箱或者用户篡改