任意登录： 登录处，选择短信登录 任意手机号来接收到验证码，然后输入要登录的手机号码配合收到的验证码 看结果：登录成功 重置密码 此处利用邮箱密码重置(配合上一步的任意账号登录获取账号的邮箱)    

通返回数据包， 验证码回显，造成问题比较严重(注册、找回密码、支付等) 请求提交，查看返回包 把返回信息中token中值修改成，对于泄漏中的信息完成注册 http://xxx.com/user/activeUser?to…

客户端提交验证请求后，服务端进行验证，然后返回到客户端验证结果，该验证结果可以通过抓取返回包进行修改，从而欺骗客户端我们已经通过服务端验。 提交把返回包的信息修改如下 注册成功，登录查看 修复方案: 不要在前端做验证判断…

原因： 获取的Token与账号未做好绑定，造成可重置任意账号密码 注：账号一般指（手机号，email，ID等) 案例： 修复方案： 做好账号与Token的绑定

密码重置接口可重置任意用户密码 案例： 修复方案： 重置密码接口做好令牌(token)验证

#Token的生成（算法）可预测，造成可任意用户的注册（或密码找回） 案例： 邮件发送成功 构造Token Md5(336699@qq.com) = 790fe51784d423a404aca5e3f60925ef 激活…