WooYun.org

问题关键点：主站登录处没有次数限制，而且有session限制每个session只能提交10次，后面就失效，貌似是这样滴，所以对于爆破限制很大，溯雪也不能提交表单，只好祭出brup，用户用手机重置密码，这次不是验证码了，直接给密码，4位随机数，让用户登录后修改。这个就给了充足的时间。
没仔细研究代码，等下去看看逻辑，不多说，看图。
1：主站登录，抓包，看到这样的东西，虽然经过编码，brup还是认出来了。

我尝试在主登录界面来爆破，最终发现提示，没个session只有10次机会，只好作罢。
我重置密码得到的是5xxx

此时用溯雪，也不行，不能抓取到表单，尼玛这根本就不是表单。
屌丝难道就此放弃？ON！
找到另一个登录口，wap！

这里一看就觉得有问题，密码直接说text-type，然后代理brup抓包。

设置好标记，以前剑心说我不严谨，我这里测试了三次，第一次，用10个密码跑，也就是5X00到5X10 结果跑出来了，但是这不够，万一还是限制10次呢，第二次，一百个密码跑，也跑出来了，现在为了更准确，也尽量节约时间，我设置1000个密码。

然后提交完了之后看到。

看来确实是没限制了，这下就可以拿基友的帐号测试了。