很奇葩的是,这次测试也是自己在正常注册的时候遇到的,花费不到24小时(头都熬秃了才琢磨出原理)
1,首先来到注册页面,正常填写好如下信息;这里可以看到,既有图片验证码,也有短信验证码校验,这里我首先想到的是直接多次repeat,很遗憾的是后端有对图片验证码,手机验证码校验; 2,后续我观察到返回包,有一个注册成功跳转的接口,默认的是跳转用户主页;于是我在想,如果我让他跳转不到主页会怎么样(强扭的瓜不甜),于是大胆的尝试让他回调到该域名的XXX路径(这个路径是不存在的) 3,于是我发现,当修改返回包跳转接口路径为不存在的情况下,当前的表单界面并不会跳转;于是,我又重新拿这个表单,正常修改常规的姓名,sfz,和邮箱号,发现又能够注册成功;相当于,当前这个表单可无限制提交,成功截图如下 4,最后总结,一个很无脑但非常有意思的任意注册,是我自认为挖掘过最运气的漏洞,最后也是凭实力以无危害给忽略了(低危都不给一个)
