1 login->register 2 GetPhone->GetPasswd 3 GetPwd->GetPassword
遍历
https://xx.com/contacts/new?user_id={userId}
文档中插入html代码-
<iframe src="http://169.254.169.254/latest/meta-data">
登录越权
http://www.xx.cn/Login.aspx 绕过 - http://www.xx.cn/html/
防御
添加有有效期的token值标识,并设置不同的标识权限