漏洞处

验证码问题

1. 万能验证码

2. 返回包中存在验证码

3. 删除验证码或者cookie中的值可以爆破账号密码

短信轰炸

1. 一直重放

2. 删除修改cookie，重放数据包

3. 遍历参数发送数据包

4. 手机号后面加空格或者前面加其他的比如+86或者逗号分号等，然后重发数据包

5. 请求参数修改大小写，或者添加请求参数比如&id=1

6. 一个站的登陆处可能做了防护，但是再找回密码处可能没有安全防护，或者在注册流程中没有安全防护，所以说多测试接口

7. 如果对手机号一天次数进行了限制的话，还可以在进行发送一次短信，DO intercept之后修改为成功回显