浅谈渗透测试之前期信息搜集(5)

无验证码==》尝试admin、admin==》提醒密码错误==》使用密码字典

使用TOP5000+账号admin

无验证码==》尝试admin、admin==》提醒账号不存在==》使用用户名字典

使用Username字典+密码123456

发起一个正常的购买请求，拦截请求数据包，修改参值，购买成功

注：coupon=优惠券，discount=折扣，product=这里可以看出来是一年的vip

拦截一个请求验证码的数据包，发现在手机号后添加：%20和任意英文字母都可以绕过

利用思路：Python写一个循环，每次在手机号末尾添加随机英文组合或叠加%20，发送100w次请求

发送手机号验证码请求并拦截，发现在请求中已经生成了验证码，所以记下验证码后放包==》填写信息==》 注册成功