某网站注册页面如下:
发送验证码未发现异常,填完信息点击注册报文如下:
直接发包的结果显然是不可以的:
post内容如下:
resData[0][name]=checkAccount&resData[0][value]=telephone&resData[1][name]=telephone&resData[1][value]=1xxxxxxxxxx&resData[2][name]=email&resData[2][value]=&resData[3][name]=password&resData[3][value]=1qaz2wsx&resData[4][name]=repassword&resData[4][value]=1qaz2wsx&resData[5][name]=sms_verify&resData[5][value]=332445&resData[6][name]=tncode&resData[6][value]=7C60E1C9-FA22-FDA9-66AE-F665DF2AA298&resData[7][name]=userprotocel&resData[7][value]=on
发现传输的数据中选择校验的方式好像可以手工改动。
继续查看邮箱注册的界面如下:
无需验证码?尝试注册:
还是需要进行邮件二次认证的。
回到手机注册页面,尝试是否可以修改认证方式而绕过验证,随意输入手机号与验证码,截包修改字段如下:
返回包显示邮箱注册成功:
使用注册时输入的手机号密码进行登录,成功登录:
并发现显示手机号已经通过验证,应该是服务端接收时认定为邮箱注册的同时,将手机号和一并写入了数据库中。