WooYun.org

一. 首先遍历土牛上的用户；
可以通过手机号对土牛帐户进行验证是否存在；但发现在遍历时，遍历几个就有了验证码；
当然这个验证码太简单了，是可以通过打码软件搞定，不过我不想麻烦了；这时的验证码
建议设置的在复杂些；
二. 任意用户密码重置；
问题出在忘记密码的地方；
URL为： https://passport.tuniu.com/forget/username
1）首先用自己的手机号注册了一个用户 A；然后进行忘记密码找回操作如下图所示：

用自己的手机，走完第一步，验证完；到第二步如下图：

注意：在此处暂停对当前页面的操作；

2）在浏览器中在打开一个tab页面，在此我们对13333333333 这个用户的密码进行重置；
仍按忘记密码，走第一步，走到如下图示部分暂停：

3）然后切到用户A的tab页面；点击下一步，这一步我提交后，一次变灰不让提交，一次提交后校验用户不对；但对这个页面做下刷新操作后，均可成功提交；
如对13333333333 这个用户重置密码成功后，跳转到页面：这个用户重置后的密码（1234QWER），通知用户改下密码吧！或者你们帮他重置下！

登录进去查看订单及详情如下所示：

进入订单，便能看到更为详细的信息，包括同行人，住的酒店等待，有的还有身份证信息和护照信息；
4）到这，我在想以后我是不是在土牛游的话是不是不要写真实姓名和身份证信息； 好怕怕呀！