WooYun.org

从http://www.immomogame.com/mmzb/ 下载陌陌争霸游戏的Android版，反编译之后在MDKWebLoginActivity.java中找到两个URL:
https://game.immomo.com/register/?action=loginHorizontalPage
https://game.immomo.com/register/?action=loginPage

登录错误两次之后页面会出现验证码，然而该验证码并不过期，可以反复提交，并且可以改变陌陌号和密码后再次提交，接口不带sign签名等额外的校验。
密文为一次MD5，由此可初步猜测，陌陌在数据库中保存了用户的明文密码，或一次MD5。
登录的POST请求为：
POST https://game.immomo.com/register/?action=login&uname= HTTP/1.1
username={陌陌号}&password={密文一次MD5}&appid=null&redirect_uri=null&sign=null&client=null&verifycode=ncp3
陌陌号是手机号码。
提交登陆请求时固定Cookie中的verify值，以及参数中的verifycode值即可。
初步猜测，后端是简单的对参数加盐MD5或多次MD5计算，最终对比计算结果和Cookie中verify的值是否匹配。
这样的验证码是可直接绕过的，因为它跟用户名、密码都无关联。
登录失败的提示是："账号或密码错误"
登录成功的提示是： “应用信息错误”，因为参数APPid被设为了null