登录功能存在设计缺陷,可以通过用户名遍历任意用户的电话号码。
输入用户名,输入密码和验证码,点击登录抓包,会发现用户名会自动编程已经绑定的手机号码,泄漏用户的隐私。
本文迁移自知识星球“火线Zone”
有验证码 就不好搞批量,验证码简单的话还能破,复杂就只能干瞪眼或手工
