今天一起练习一个好玩简单的东东——尝试一下图形验证码绕过的复现。图形验证码一般在登录处都会有，所以这招我感觉可以一招鲜吃遍天。反正都快速试一下，说不定就挖个小低危，对于刚入行还未独立开始测试的工程师来...

挖掘重点： 业务流程和HTTP/HTTPS请求篡改 支付漏洞和越权漏洞是金融业务中常见的 支付漏洞 # (1) 密码重置 验证码直接在HTTP响应中返回； 验证码未绑定用户，没和手机号和邮箱号做匹配验...

声明：该公众号大部分文章来自作者日常学习笔记，未经授权，严禁转载，如需转载，联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。0x00 ...

相应的文章，只是觉得应该有个入门级的“测试用例”。本文不涉及OCR，不涉及暴力四六位纯数字验证码，不涉及没有验证码的情况（神马？没有验证码？没有验证码还讨论什么，要不人家不 care，要不人家已经胸有...

跨域认证的问题互联网服务离不开用户认证。一般流程是下面这样1、用户向服务器发送用户名和密码。2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。3、服务器向...