2,对登录页面的密码框进行FUZZ
无验证码==》尝试admin、admin==》提醒密码错误==》使用密码字典
使用TOP5000+账号admin
3,对登录账号框进行FUZZ无验证码==》尝试admin、admin==》提醒账号不存在==》使用用户名字典
使用Username字典+密码123456
4,无限制使用一元买价值899的vip会员发起一个正常的购买请求,拦截请求数据包,修改参值,购买成功
注:coupon=优惠券,discount=折扣,product=这里可以看出来是一年的vip
5,无限制短信轰炸导致资金消耗
拦截一个请求验证码的数据包,发现在手机号后添加:%20和任意英文字母都可以绕过
利用思路:Python写一个循环,每次在手机号末尾添加随机英文组合或叠加%20,发送100w次请求
6,由于验证码在本地生产导致的任意用户注册
发送手机号验证码请求并拦截,发现在请求中已经生成了验证码,所以记下验证码后放包==》填写信息==》 注册成功