没想到主站登录接口就这样被绕过了,真是最安全的地方就是最危险的地方...
具体过程如下:
主站登录错误后是需要弹出验证码的,这个之前测试过就知道。
这次又翻到主站,因为第一次登录是没有验证码的,所以连试都没试,直接填写账号密码,开代理,抓包。然后大数据撞库。
令人吃惊的是这样抓的包,竟然可以直接fuzz啊...
由于时间关系,就测试了一小部分数据,成功率还是比较高的。
过程:
第一次登录时抓包
返回包大于40000的都是成功的
设置好字典fuzz后的结果
贴上部分数据
登录测试截图
*****com :*****
登录会有一个提示,无影响
*****il.com ^*****
*****com :*****