WooYun.org

猥琐的我猥琐的思路：
首先来到PPTV的首页，看到竟然没有验证码登陆限制，也没有HTTPS加密协议，然后我就高兴了~

是不是登陆失败以后几次才出验证码限制呢？故意登陆失败几次也没有出现验证码，这么流弊的站安全做的这么差？果断burp抓包，结果发现不知道为什么根本抓不到包的，到这里才知道人家大站的流弊之处啊~
唉，没办法，你主站安全做的这么流弊就不能怪我猥琐了，于是我逛啊逛啊逛啊逛的就来到了这么一个页面：http://game.g.pptv.com/guest/c/sq/api.php?action=logout发现这是个PPTV的游戏登陆的一个页面，也没有https加密和验证码机制

尼玛直接burp抓包，可以看到用户名和密码竟然是明文传输

哈哈高兴死我了看看能不能爆破，然后开始跑字典，看了几篇大牛哥哥文章的时间就跑出来了不少用户

然后登陆试了试全部成功，就是不知道分站的号和主站能不能通用呢？然后再次来到主站，随便选几个用分站爆破到的号登陆试试哈哈全部登陆成功~