来源:自学PHP网 时间:2015-04-17 10:15 作者: 阅读:次
[导读] 绕过移动客户端接口不能直接请求策略首先,对客户端数据截包,获得接口http: mobile womai com wmapi loginpassword=123456username=wooyun6直接hackbar访问,无任何数据但是通过黑盒测试,加入客户端...
|
绕过移动客户端接口不能直接请求策略
首先,对客户端数据截包,获得接口
http://mobile.womai.com/wmapi/login
password=123456&username=wooyun6
直接hackbar访问,无任何数据
 但是通过黑盒测试,加入客户端识别项,就能够直接请求了,可以直接拿其他裤子来撞库,暴力验证
 然后尝试下,直接看返回数据长度就知道了
 这个绕过给黑产用来做扫号器很不错哦
注册同上,直接hackbar请求无效 http://mobile.womai.com/wmapi/register
conirmpw=wooyun123&password=wooyun123&email=wooyun1%40123.com&username=wooyun1
加入参入绕过,就能注册了
修复方案:
多次同ip请求弹出验证码,ip不要去x-forward-for 相关接口在电商是很重要的
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
