某app的安全性分析过程
交互过程如下,可以发现问题很多
http://www.ixxxx.com//api/index/app
图片验证码:
{"data":{"imgCode":"","loginName":"1371111111"},"code":"user-checkImgeCode"}
验证手机和验证码:获取到key在注册的时候进行验证,防止恶意注册
{"data":{"phoneCode":"454336","recommend":"365","loginName":"1371111111","type":1},"code":"auth-checkPhone"}
{"status":1,"msg":"效验成功","type":0,"data":{"key":"f60b29cefa24ff71cc01c1931040f016"}}
注册用户 :验证刚刚的key以保证用户手机收过验证码
{"data":{"loginPwd":"aaaaa111111","secret_key":"f60b29cefa24ff71cc01c1931040f016","parentId":"","loginName":"1371111111","recommend":"365","phoneCode":"454336"},"code":"user-register"}
{"status":1,"msg":"注册成功","type":0,"data":{"token":"5643777675a4998b1672901.68959906","chu":1,"unique":"474C8E76A4D8F613DABF06807CF6F1B7"}}
修改密码:需要图片验证码,通过token进行修改
{"data":{"newpassword1":"aaaaa11111","code":"9587","newpassword":"aaaaa11111","oldpassword":"aaaaa111111"},"code":"user-editPassword"}
{"status":1,"msg":"修改成功","type":0}
登录获取token(每次登录补不同):带deviceId: 6AF6B4DB-DF82-F8BA-2495-792465D9607C
{"data":{"verifyCode":"","loginName":"1371111111","loginPwd":"aaaaa11111"},"code":"user-login"}
{"status":"1","msg":"登录成功","type":0,"data":{"token":"10899269405a499e09705892.85853445","chu":1,"unique":"474C8E76A4D8F613DABF06807CF6F1B7"}}
头部
POST //api/index/app HTTP/1.1
Host: www.1371111111.com
Accept: */*
version: 3.1.0
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept-Language: zh-Hans-CN;q=1
token: 5643777675a4998b1672901.68959906
Content-Type: application/json
deviceId: 6AF6B4DB-DF82-F8BA-2495-792465D9607C
version: 3.1.0
User-Agent: AiXiang/3.1.0 (iPhone; iOS 9.3.4; Scale/3.00)
Connection: keep-alive
Content-Length: 33
device: 3
某app的安全性分析过程的更多相关文章
- 一次数据库hang住的分析过程
现象: 普通用户和sysdba都无法登陆,业务中断 分析过程: 1.先做hanganalyze和systemstate dump $sqlplus -prelim "/as sysdba&q ...
- 作业2——英语学习APP的案例分析
英语学习APP的案例分析 很多同学有误解,软件工程课是否就是理论课?或者是几个牛人拼命写代码,其他人打酱油的课?要不然就是学习一个程序语言,搞一个职业培训的课?都不对,软件工程有理论,有实践,更重要的 ...
- 蓝牙App漏洞系列分析之三CVE-2017-0645
蓝牙App漏洞系列分析之三CVE-2017-0645 0x01 漏洞简介 Android 6月的安全公告,同时还修复了我们发现的一个蓝牙 App 提权中危漏洞,该漏洞允许手机本地无权限的恶意程序构造一 ...
- Lucene的分析过程
转自:http://www.open-open.com/lib/view/open1348033848724.html Lucene的分析过程 回顾倒排索引的构建 收集待建索引的原文档(Documen ...
- 记一次ORACLE的UNDO表空间爆满分析过程
这篇文章是记录一次ORACLE数据库UNDO表空间爆满的分析过程,主要整理.梳理了同事分析的思路.具体过程如下所示: 早上收到一数据库服务器的UNDO表空间的告警邮件,最早一封是7:55发出的(监控作 ...
- ele.me在IOS浏览器端启动APP的技巧分析
ele.me在IOS浏览器端启动APP的技巧分析 巧妙利用后台重定向,在schemes启动时提示用户打开,启动不了APP时能够及时跳转至下载页面. 避免报错页面的出现以及用户还没来的及选择就跳转到下载 ...
- LL(1)文法分析表的构造和分析过程示例
在考完编译原理之后才弄懂,悲哀啊.不过懂了就好,知识吗,不能局限于考试. 文法: E→TE' E'→+TE'|ε T→FT ' T'→*FT'|ε F→id| (E) 一.首先判断是不是 LL(1)文 ...
- 一个DOS攻击木马的详细分析过程
一个DOS攻击木马的详细分析过程 0×01 起因 网路流量里发现了大量的的1.exe的文件,而且一直在持续,第一感觉就像是一个木马程序,而且每个1.exe的MD5都不一样,对比发现只有几个字节不一样( ...
- Hybrid APP基础篇(二)->Native、Hybrid、React Native、Web App方案的分析比较
说明 Native.Hybrid.React.Web App方案的分析比较 目录 前言 参考来源 前置技术要求 楔子 几种APP开发模式 概述 Native App Web App Hybrid Ap ...
随机推荐
- 微服务架构基础之Service Mesh
ServiceMesh(服务网格) 概念在社区里头非常火,有人提出 2018 年是 ServiceMesh 年,还有人提出 ServiceMesh 是下一代的微服务架构基础. 那么到底什么是 Serv ...
- 解决安装fiddler后IE打开网页提示“代理服务器无响应”
环境:win8.1+IE11 安装fiddler4后,启动fiddler,IE11打开百度网站,打开失败:代理服务器无响应,如图: 在网上找了各种方法,修改fiddler的设置,均无法解决这个问题,无 ...
- hdfs webhdfs 写文件(create file)
# _*_ coding=utf-8 _*_ import sys import os hosts = {} cmd1 = ''' curl -i -X PUT "http://%s:500 ...
- sublime编译javaScript脚本
处理步骤: 1. 首先到 nodejs.org 下载 Node.js 安装包并安装.2. 打开 Sublime Text 3 编辑器.选择菜单 Tools --> Build System -- ...
- loadrunner 上传下载
转http://blog.163.com/yings_9371/blog/static/66196922010711115545137/ (1)LoadRunner上传文件 web_submit_da ...
- RPM包指令总结
一.RPM RPM包安装位置 RPM包默认安装路径 /etc/ 配置文件安装目录 /usr/bin/ 可执行的命令安装目录 /usr/lib/ 程序所使用的函数库保存位置 /usr/share/doc ...
- java8 for ,forEach ,lambda forEach , strean forEach , parller stream forEach, Iterator性能对比
java8 for ,forEach ,Iterator,lambda forEach ,lambda strean forEach , lambda parller stream forEach性 ...
- python学习笔记----正则表达式
正则: regular expression 常用的场景: #正则的包 >>> import re #match:开头匹配,匹配到,返回一个匹配对象,否则返回None >> ...
- 两将军问题、拜占庭将军问题、TCP三路握手过程的联系
2015年初时产生了一个疑问:基于不可靠的通信链路,为什么在两将军问题中永远无法达到共识,而在TCP三路握手中可以? 今天抽出了一些时间进行研究发现,实际上TCP三路握手也不是完全可靠的,只是一个近似 ...
- python之列表及其方法---整理集
列表类,类名是list 通过list类创建对象,使用中括号 列表特性: 使用中括号括起来 中间用逗号分隔每个元素 元素可以是数字.字符串.布尔值.列表 列表中可以嵌套列表 列表中每个元素的下标从0开始 ...