,但是当我输入正确的用户名和错误的邮箱时,系统会提示“输入邮箱错误”,相信各位大佬都知道了,这里挖掘到一枚用户名枚举的漏洞,通过系统的提示系统,批量爆破系统存在的用户名。...差点劝退
所以我决定搞点事情,把这个洞危害加大,我第一个想的就是爆破固定的用户名与密码,因为系统的登录页面,无论是你用户名错误还是密码错误,都返回“用户名和密码或错误!”...因为我以前见过国外的某性能测试软件,不知道啥名字了,反正挺贵的,能自动控制浏览器进行性能设置,就好比一个机器人帮你输入,帮你提交,帮你访问网站,我觉得酷死了,然后我就想了想咋实现的,想起自动化,我肯定第一时间想起了...但是有个问题,就是我无法捕获服务器的返回包,刚开始使用selenium抓取chromedriver的network
抓到的流量还得自己分析,就很难受,然后就是使用了browsermobproxy 来开启一个中间的代理...因为起的浏览器默认是记住上次密码的,当我输入一个admin账号的时候,在输入密码,然后浏览器记住了我的账号了,虽然错误,然后继续输入admin,然后浏览器会自动补全123456,然后我再输入了一个456789