交互过程如下,可以发现问题很多

http://www.ixxxx.com//api/index/app
图片验证码:
{"data":{"imgCode":"","loginName":"1371111111"},"code":"user-checkImgeCode"}

验证手机和验证码:获取到key在注册的时候进行验证,防止恶意注册
{"data":{"phoneCode":"454336","recommend":"365","loginName":"1371111111","type":1},"code":"auth-checkPhone"}
{"status":1,"msg":"效验成功","type":0,"data":{"key":"f60b29cefa24ff71cc01c1931040f016"}}

注册用户 :验证刚刚的key以保证用户手机收过验证码
{"data":{"loginPwd":"aaaaa111111","secret_key":"f60b29cefa24ff71cc01c1931040f016","parentId":"","loginName":"1371111111","recommend":"365","phoneCode":"454336"},"code":"user-register"}
{"status":1,"msg":"注册成功","type":0,"data":{"token":"5643777675a4998b1672901.68959906","chu":1,"unique":"474C8E76A4D8F613DABF06807CF6F1B7"}}

修改密码:需要图片验证码,通过token进行修改
{"data":{"newpassword1":"aaaaa11111","code":"9587","newpassword":"aaaaa11111","oldpassword":"aaaaa111111"},"code":"user-editPassword"}
{"status":1,"msg":"修改成功","type":0}

登录获取token(每次登录补不同):带deviceId: 6AF6B4DB-DF82-F8BA-2495-792465D9607C
{"data":{"verifyCode":"","loginName":"1371111111","loginPwd":"aaaaa11111"},"code":"user-login"}
{"status":"1","msg":"登录成功","type":0,"data":{"token":"10899269405a499e09705892.85853445","chu":1,"unique":"474C8E76A4D8F613DABF06807CF6F1B7"}}

头部
POST //api/index/app HTTP/1.1
Host: www.1371111111.com
Accept: */*
version: 3.1.0
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept-Language: zh-Hans-CN;q=1
token: 5643777675a4998b1672901.68959906
Content-Type: application/json
deviceId: 6AF6B4DB-DF82-F8BA-2495-792465D9607C
version: 3.1.0
User-Agent: AiXiang/3.1.0 (iPhone; iOS 9.3.4; Scale/3.00)
Connection: keep-alive
Content-Length: 33
device: 3

某app的安全性分析过程的更多相关文章

  1. 一次数据库hang住的分析过程

    现象: 普通用户和sysdba都无法登陆,业务中断 分析过程: 1.先做hanganalyze和systemstate dump $sqlplus -prelim "/as sysdba&q ...

  2. 作业2——英语学习APP的案例分析

    英语学习APP的案例分析 很多同学有误解,软件工程课是否就是理论课?或者是几个牛人拼命写代码,其他人打酱油的课?要不然就是学习一个程序语言,搞一个职业培训的课?都不对,软件工程有理论,有实践,更重要的 ...

  3. 蓝牙App漏洞系列分析之三CVE-2017-0645

    蓝牙App漏洞系列分析之三CVE-2017-0645 0x01 漏洞简介 Android 6月的安全公告,同时还修复了我们发现的一个蓝牙 App 提权中危漏洞,该漏洞允许手机本地无权限的恶意程序构造一 ...

  4. Lucene的分析过程

    转自:http://www.open-open.com/lib/view/open1348033848724.html Lucene的分析过程 回顾倒排索引的构建 收集待建索引的原文档(Documen ...

  5. 记一次ORACLE的UNDO表空间爆满分析过程

    这篇文章是记录一次ORACLE数据库UNDO表空间爆满的分析过程,主要整理.梳理了同事分析的思路.具体过程如下所示: 早上收到一数据库服务器的UNDO表空间的告警邮件,最早一封是7:55发出的(监控作 ...

  6. ele.me在IOS浏览器端启动APP的技巧分析

    ele.me在IOS浏览器端启动APP的技巧分析 巧妙利用后台重定向,在schemes启动时提示用户打开,启动不了APP时能够及时跳转至下载页面. 避免报错页面的出现以及用户还没来的及选择就跳转到下载 ...

  7. LL(1)文法分析表的构造和分析过程示例

    在考完编译原理之后才弄懂,悲哀啊.不过懂了就好,知识吗,不能局限于考试. 文法: E→TE' E'→+TE'|ε T→FT ' T'→*FT'|ε F→id| (E) 一.首先判断是不是 LL(1)文 ...

  8. 一个DOS攻击木马的详细分析过程

    一个DOS攻击木马的详细分析过程 0×01 起因 网路流量里发现了大量的的1.exe的文件,而且一直在持续,第一感觉就像是一个木马程序,而且每个1.exe的MD5都不一样,对比发现只有几个字节不一样( ...

  9. Hybrid APP基础篇(二)->Native、Hybrid、React Native、Web App方案的分析比较

    说明 Native.Hybrid.React.Web App方案的分析比较 目录 前言 参考来源 前置技术要求 楔子 几种APP开发模式 概述 Native App Web App Hybrid Ap ...

随机推荐

  1. 编译APR包报错 rm: cannot remove `libtoolT': No such file or directory

    centos 6  编译APR包报错 在当前apr 目录 : #Vi configure +31880  ,注释掉此行 再次编译即可.

  2. 学习笔记:python3,PIP安装第三方库(2017)

    https://pip.pypa.io/en/latest/quickstart/ pip的使用文档 http://www.lfd.uci.edu/~gohlke/pythonlibs/   .whl ...

  3. tomcat启动时错误:Failed to start component [StandardEngine[Catalina].StandardHost[localhost].错误

    今天第一次遇到Failed to start component [StandardEngine[Catalina].StandardHost[localhost].错误,并且在错误提示的后半段出现了 ...

  4. java web复习(二)

    三.四种属性范围及应用 setAttribute(String name,Object o)设置属性 getAttribute(String name)根据属性名取得属性 removeAttribut ...

  5. leetcode1033

    class Solution: def numMovesStones(self, a: int, b: int, c: int) -> 'List[int]': l = list() l.app ...

  6. Unresolved externa Round

    [ilink32 Error] Error: Unresolved external '__stdcall Round(const double, int)' referenced from e:\工 ...

  7. git 新建仓库

    rm -rf .git git init git add . git commit -m "Initial commit" git remote add origin <gi ...

  8. 《Dare To Dream 》第三次作业--团队项目的原型设计与开发

    一.实验目的与要求 1.掌握软件原型开发技术:  2.学习使用软件原型开发工具: 二.实验内容与步骤 任务1:针对实验六团队项目选题,采用适当的原型开发工具设计团队项目原型: 任务2:在团队博客发布博 ...

  9. Post返回json中文乱码

    来源:http://blog.csdn.net/xiaoxuonl/article/details/54315612 服务器返回的是utf-8,jsp页面上也是utf-8,数据库也是utf-8怎么就是 ...

  10. python的apidoc使用

    一.apidoc的安装 npm install apidoc -g -g参数表示全局安装,这样在哪儿都能使用. 二.apidoc在python接口代码中的使用 def index(): "& ...