2.sql註入
3.任何密碼重置和任何密碼註冊。
4.四位短信驗證碼,0-9999(爆炸性)
5.界面反饋有用信息(反饋太詳細)?
比如壹個用手機驗證碼登錄的界面,如果妳先驗證手機號不存在,那麽就可以通過。
爆破暴露其註冊的手機號然後暴露用戶(如羊毛黨)
危險,例如:
(1)如果我是貴公司的競爭對手,我可以用這些手機號做廣告來吸引我們的客戶。
(2)如果我是黑產,可以給這些手機號發詐騙短信,釣魚。
(3)撞庫攻擊,比如把這些手機號放到自己的社工庫中查詢,然後匹配相應的密碼。
等等,等等,等等。傷害。