♥♥♥♥♥♥
一、登录
业务逻辑漏洞:暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过;
二、注册
业务逻辑漏洞:恶意用户批量注册、恶意验证注册账户、存储型xss;
三、密码找回
业务逻辑漏洞:重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改;
四、后台管理
业务逻辑漏洞:管理员用户名密码绕过、目录遍历;
五、业务查询
业务逻辑漏洞:恶意查询、办理人信息泄露;
六、传输过程
业务逻辑漏洞:cookie注入、cookie跨站、cookie劫持;
七、评论
业务逻辑漏洞:post注入、csrf、存储型xss、遍历用户名;