WooYun.org

http://android.myapp.com/myapp/detail.htm?apkName=com.hexindai.hxd
下载APP，并安装，自己注册个账号，待会会用到。
ps：测试过程中有时会出现，验证码失效以及验证码接收较慢的情况，请审核多试几次，谢谢。
1.重置登陆密码
找回密码流程，先用自己的手机号，利用重置密码的页面，给自己手机发送验证码，并记录下请求包中的数据
例如

手机收到的验证码：201562
请求中的rtoken=1d65df96648403a12e78d9a0d1602b15
继续重置18888888888
同样给18888888888发送验证码，不过在发送时，截取数据包，修改返回体内容中的rtoken为我们刚的rtoken
例如

输入我们的验证码

点击下一步，跳转至设置密码页面，设置新密码即可

登陆

2.重置交易密码，同样可以用以上的方式
发送验证码请求，可保留下来，无需通过APP功能即可随时获取新验证码跟rtoken
同样先给自己手机发送请求

替换18888888888的发送验证码请求的返回体

输入我们收到的验证码016174
会看到验证通过

设置新交易密码即可

新交易密码，可通过修改交易密码的功能来验证是否真的已经修改了交易密码
例如

3.手机改绑
手机改绑功能，跟以上两项功能类似， 都涉及到rtoken不与手机号绑定的问题

同样有rtoken
这边就不继续说这个问题了。手机号都不够用了
4.测到这里，基本都能发现，发送验证码的接口好像都没有设置时间间隔。可批量，做短信炸弹