手机APK利用JSON绕过验证码登陆漏洞 作者:0x80
这个思路简单讲讲
网站系统中
我们明显看到了这样一段
很明显是加过密的
这样就能够难到我们吗,有的人可能想到了验证码爆破
这个网站验证码6位,随便做一个就是上百万的字典,完全没必要
其实我们通过网站系统对应的APK接口
同样也做一次这样的动作、然后展开JSON
我们发现了猫腻,可以发现网站系统验证码虽然加密了
但是APK并没有加密,直接绕过登录
手机APK利用JSON绕过验证码登陆漏洞 作者:0x80
这个思路简单讲讲
网站系统中
我们明显看到了这样一段
很明显是加过密的
这样就能够难到我们吗,有的人可能想到了验证码爆破
这个网站验证码6位,随便做一个就是上百万的字典,完全没必要
其实我们通过网站系统对应的APK接口
同样也做一次这样的动作、然后展开JSON
我们发现了猫腻,可以发现网站系统验证码虽然加密了
但是APK并没有加密,直接绕过登录