我买网移动客户端账户接口安全请求限制绕过及

绕过移动客户端接口不能直接请求策略

首先，对客户端数据截包，获得接口

 

http://mobile.womai测试数据/wmapi/login

 

 

 

直接hackbar访问，无任何数据

 

但是通过黑盒测试，加入客户端识别项，就能够直接请求了，可以直接拿其他裤子来撞库，暴力验证

然后尝试下，直接看返回数据长度就知道了

 

这个绕过给黑产用来做扫号器很不错哦 

注册同上，直接hackbar请求无效

 

 

http://mobile.womai测试数据/wmapi/register

 

 

 

 

加入参入绕过，就能注册了

 

修复方案： 多次同ip请求弹出验证码，ip不要去x-forward-for 

 

相关接口在电商是很重要的 

 

查看更多关于我买网移动客户端账户接口安全请求限制绕过及的详细内容...