A、登录功能,将原本错误的状态码修改为正确的,比如status=2是错误的,将status参数的值修改为1即可成功进入系统;
B、找回密码等功能,随意输入手机号,随意输入验证码,抓包,点击下一步,继续下一步这种,没有进行验证;
C、商品购买,比如我购买的是A商品价格50元但是使用BP改成了B商品,价格1元,然后进行支付;也可以修改其它参数商品金额,很经典的就是0元购或者0.1元购买,然后比如小程序的点单次数的限制等;
D、越权漏洞,有垂直和水平越权,A用户改了B用户的东西,相关靶场有涉及;
E、Cookie:cookie等信息可以多次重复使用,比如cookie=admin,随意属于用户名和密码然后进行登录然后修改数据包中的cookie信息;
F、短信轰炸漏洞:比如直接在手机号前面加+86,空格等特殊字符;
G、短信验证码可以重复利用;