这个问题看各个公司的业务吧,非通用,xss说刷分就刷分吧,但对电商绝对是个大漏洞,看到时候的漏洞评分吧,只是为了帮助企业修复漏洞

1 先说一个bug,客户端案桌手机注册后,未完善信息,直接购买东西,点击立即购买,报错了,如图

快乐购认证设计的几处缺陷

2 http,get明文传输用户名密码,客户端太多了,就截个图,那几个接口就是在客户端找的

快乐购认证设计的几处缺陷

3 遍历用户名验证单个秘码,最多1小时验证5个,因为有

快乐购认证设计的几处缺陷

所以我遍历用户名就好了,假设我拿到了很多用户的用户名,那可以让他们都不能登陆了,这也是个大问题,具体用户名哪来,csdn等都很多

?fid=as0010&username=******&pwd=*****&cps_id=0

4 暴力注册对于电商是个很大问题,即使不是电商,新浪微薄,企鹅微薄也是,危害甲方肯定懂的

?&fid=as0008&username=Z******&pwd=*******&email=********@qq.com&cps_id=0


解决办法:

1 使用https或者其他加密的post传输,推起来教难

2 手机登录,注册接口必须修复,对于客户端需要验证码未尝不可,具体策略你们自己决定吧,关键不要再次被绕过,好好测试