http://web.kuaipan.cn/user/login处多次输入错误的账号密码,都未有图片验证码以及IP锁定策略。
抓取登录报文:
得知账号密码都加密了,查看js源码可以得知是RSA加密。公钥的N,E都是远程获取,但是基本都不变。本想写一个加密插件,忽然看到参数 security=1,虽然俺家穷,读书少,四六级都没过,但是这个单词还是能认识。
果断将参数置为 0,再使用明文账号密码测试:
返回结果:
看来是有用的。
立马下载了CSDN账号密码,
取样10W个,得到密码2000多个,成功率2%。600W估计可以得到10W账号应该没问题。