在智联招聘看到贵公司招聘信息。本着了解方式下载了APP万客,以下是体验记录。
第一步登录,在没有输入用户密码的情况下既然请求出去了,产品并没有进行初步的过滤。
返回json如下:{"result":false,"code":1000,"msg":"用户不存在","data":""}。服务端估计也没有做密码过滤直接拿用户名去查数据库........
注册,看到了获取验证码按钮。随手一抓包。哦 天!这获取短信业务有很大问题。我预测服务端加密都没有肯定也没有IP过滤,我可能可以刷爆你们短信业务,一条6分,一秒刷N条不是问题。顺手写了两个小程序只要运行就知道了这里不多说。
顺带提下 APP既然没有带上 key?也没有收集用户数据....请求路径不解为何要加上80端口
注册流程太多东西了没玩下去。
顺手点了下找回密码
。。。原来我没有注册也能发送修改密码的短信成功。哦天!又浪费了一毛钱。
