1. 通过下面url的返回结果,可以遍历出所有的手机注册账户:
http://api1.fun.tv/ajax/get_mobile_vcode/电话号码/reset_password
存在的账户,返回:
{"status":200,"msg":"","url":"","field":""}
不存在的账户,返回:
{"status":400,"msg":"wrong mobile","url":"","field":""}
2. 手机注册一个账号,执行密码找回,输入接受到的验证码,确定后进入密码重置界面;
3. 输入新的密码,开启 fiddler 截获请求,点击确定;
3. 直接用第一步获取到的手机号码,替换请求中的电话号码,重新发起请求;在验证码的有效期内,密码被重置成功。