交互过程如下,可以发现问题很多

http://www.ixxxx.com//api/index/app
图片验证码:
{"data":{"imgCode":"","loginName":"1371111111"},"code":"user-checkImgeCode"}

验证手机和验证码:获取到key在注册的时候进行验证,防止恶意注册
{"data":{"phoneCode":"454336","recommend":"365","loginName":"1371111111","type":1},"code":"auth-checkPhone"}
{"status":1,"msg":"效验成功","type":0,"data":{"key":"f60b29cefa24ff71cc01c1931040f016"}}

注册用户 :验证刚刚的key以保证用户手机收过验证码
{"data":{"loginPwd":"aaaaa111111","secret_key":"f60b29cefa24ff71cc01c1931040f016","parentId":"","loginName":"1371111111","recommend":"365","phoneCode":"454336"},"code":"user-register"}
{"status":1,"msg":"注册成功","type":0,"data":{"token":"5643777675a4998b1672901.68959906","chu":1,"unique":"474C8E76A4D8F613DABF06807CF6F1B7"}}

修改密码:需要图片验证码,通过token进行修改
{"data":{"newpassword1":"aaaaa11111","code":"9587","newpassword":"aaaaa11111","oldpassword":"aaaaa111111"},"code":"user-editPassword"}
{"status":1,"msg":"修改成功","type":0}

登录获取token(每次登录补不同):带deviceId: 6AF6B4DB-DF82-F8BA-2495-792465D9607C
{"data":{"verifyCode":"","loginName":"1371111111","loginPwd":"aaaaa11111"},"code":"user-login"}
{"status":"1","msg":"登录成功","type":0,"data":{"token":"10899269405a499e09705892.85853445","chu":1,"unique":"474C8E76A4D8F613DABF06807CF6F1B7"}}

头部
POST //api/index/app HTTP/1.1
Host: www.1371111111.com
Accept: */*
version: 3.1.0
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept-Language: zh-Hans-CN;q=1
token: 5643777675a4998b1672901.68959906
Content-Type: application/json
deviceId: 6AF6B4DB-DF82-F8BA-2495-792465D9607C
version: 3.1.0
User-Agent: AiXiang/3.1.0 (iPhone; iOS 9.3.4; Scale/3.00)
Connection: keep-alive
Content-Length: 33
device: 3

某app的安全性分析过程的更多相关文章

  1. 一次数据库hang住的分析过程

    现象: 普通用户和sysdba都无法登陆,业务中断 分析过程: 1.先做hanganalyze和systemstate dump $sqlplus -prelim "/as sysdba&q ...

  2. 作业2——英语学习APP的案例分析

    英语学习APP的案例分析 很多同学有误解,软件工程课是否就是理论课?或者是几个牛人拼命写代码,其他人打酱油的课?要不然就是学习一个程序语言,搞一个职业培训的课?都不对,软件工程有理论,有实践,更重要的 ...

  3. 蓝牙App漏洞系列分析之三CVE-2017-0645

    蓝牙App漏洞系列分析之三CVE-2017-0645 0x01 漏洞简介 Android 6月的安全公告,同时还修复了我们发现的一个蓝牙 App 提权中危漏洞,该漏洞允许手机本地无权限的恶意程序构造一 ...

  4. Lucene的分析过程

    转自:http://www.open-open.com/lib/view/open1348033848724.html Lucene的分析过程 回顾倒排索引的构建 收集待建索引的原文档(Documen ...

  5. 记一次ORACLE的UNDO表空间爆满分析过程

    这篇文章是记录一次ORACLE数据库UNDO表空间爆满的分析过程,主要整理.梳理了同事分析的思路.具体过程如下所示: 早上收到一数据库服务器的UNDO表空间的告警邮件,最早一封是7:55发出的(监控作 ...

  6. ele.me在IOS浏览器端启动APP的技巧分析

    ele.me在IOS浏览器端启动APP的技巧分析 巧妙利用后台重定向,在schemes启动时提示用户打开,启动不了APP时能够及时跳转至下载页面. 避免报错页面的出现以及用户还没来的及选择就跳转到下载 ...

  7. LL(1)文法分析表的构造和分析过程示例

    在考完编译原理之后才弄懂,悲哀啊.不过懂了就好,知识吗,不能局限于考试. 文法: E→TE' E'→+TE'|ε T→FT ' T'→*FT'|ε F→id| (E) 一.首先判断是不是 LL(1)文 ...

  8. 一个DOS攻击木马的详细分析过程

    一个DOS攻击木马的详细分析过程 0×01 起因 网路流量里发现了大量的的1.exe的文件,而且一直在持续,第一感觉就像是一个木马程序,而且每个1.exe的MD5都不一样,对比发现只有几个字节不一样( ...

  9. Hybrid APP基础篇(二)->Native、Hybrid、React Native、Web App方案的分析比较

    说明 Native.Hybrid.React.Web App方案的分析比较 目录 前言 参考来源 前置技术要求 楔子 几种APP开发模式 概述 Native App Web App Hybrid Ap ...

随机推荐

  1. scrpy-cookie

    两种方法模拟登陆 1.直接携带cookie import re import scrapy class RenrenSpider(scrapy.Spider): name = 'renren' all ...

  2. RF:win10跑用例过程中有中文日志会显示非中文

    问题:RobotFramework在win10跑用例过程中有中文日志会显示非中文,如截图: 解决:  C:\Python27\Lib\site-packages\robot\utils\unic.py ...

  3. zabbix3.0.4 探索主机Discovery自动发现agent主机和zabbix-agent自动注册详细图文教程

    Zabbix 自动发现(Discovery)功能使用 随着监控主机不断增多,有的时候需要添加一批机器,特别是刚用zabbix的运维人员需要将公司的所有服务器添加到zabbix,如果使用传统办法去单个添 ...

  4. 一行js代码识别Selenium+Webdriver及其应对方案

    有不少朋友在开发爬虫的过程中喜欢使用Selenium + Chromedriver,以为这样就能做到不被网站的反爬虫机制发现. 先不说淘宝这种基于用户行为的反爬虫策略,仅仅是一个普通的小网站,使用一行 ...

  5. Python环境下的Sublime Text3无法使用input()函数

    在Sublime Text3中写好Python程序,按Ctrl+B运行程序,在控制台中输入内容,回车,程序没有响应.最后求助网络,找到了解决办法. 一.安装插件SublimeREPL 按Ctrl+Sh ...

  6. Delphi中Chrome Chromium、Cef3学习笔记(五)

    原文   http://blog.csdn.net/xtfnpgy/article/details/48489489   一.模拟移动鼠标 //  SetCursorPos(StrToInt(Edit ...

  7. TensorFlow初探之简单神经网络训练mnist数据集(TensorFlow2.0代码)

    from __future__ import print_function from tensorflow.examples.tutorials.mnist import input_data #加载 ...

  8. Dnsmasq 配置PXE批量安装系统

    以下测试都是基于centos 7下的环境 需要安装的软件为 nginx 用来下载ks.cfg和系统镜像文件用的,也可以用ftp服务器来代替 dnsmasq 提供dhcp服务和tftp服务,也可以单独去 ...

  9. windows下consul利用json文件注册服务

    windows下,以开发模式启动consul命令 consul agent -dev -config-dir=D:\tools\consul 人工注册服务,新建一个json文件 ,放到D:\tools ...

  10. SpringBoot之SOAP WebService

    SpringBoot的Web Service类型常见有RESTful Web Service和SOAP Web Service两种,RESTful风格的web服务比较常用,但实际工作中仍有部分场景用到 ...