绕过移动客户端接口不能直接请求策略

首先,对客户端数据截包,获得接口

password=123456&username=wooyun6

直接hackbar访问,无任何数据

我买网移动客户端账户接口安全请求限制绕过及修复方案

但是通过黑盒测试,加入客户端识别项,就能够直接请求了,可以直接拿其他裤子来撞库,暴力验证

我买网移动客户端账户接口安全请求限制绕过及修复方案

然后尝试下,直接看返回数据长度就知道了

我买网移动客户端账户接口安全请求限制绕过及修复方案

这个绕过给黑产用来做扫号器很不错哦 


注册同上,直接hackbar请求无效

conirmpw=wooyun123&password=wooyun123&email=wooyun1%40123.com&username=wooyun1

加入参入绕过,就能注册了

修复方案:

多次同ip请求弹出验证码,ip不要去x-forward-for