注释信息泄露加小技巧拿到测试帐号

当在测试一个网站的时候，千万百计的想进后台，爆菊花，可赖于网站安全性做得太好，导致被拒。而往往一些小问题不起眼的东西，溃于蚁穴。那么接下讲讲是如何溃于蚁穴的。

在以下截图中，由于错误信息提示不一致，导致手机号/密码爆破等。可是手机号辣么多，真去爆破么？反正我是做不到，不知道身为大牛的你，能不能做到。

1.png

为什么会说错误信息提示不一致，请看以下图：

2.png

有人会问，这个正确手机号是怎么来的，当然不是自己注册的，而是通过查看网页源代码信息得来的看以下图：（码打得有点多，做到心中无码就可以了。）

3.png

看到电话号码后边跟着一个六位数字，心想这会不会就是密码？尝试登陆，提示密码是错误的，本来心中有一丝窃喜的，被这密码错误提示扫之。（不甘心啊，不甘心啊，不甘心啊）于是乎产生了一个大胆的想法，就是索取这个电话号码更改密码时所需要的验证码，怎么索取了？就是用自己手机号给这个号码发条短信，内容如图：

4.png

想不到发出去不到半分钟时间，就给回复过手来了，可想而知，是个手机党啊！这里速度去更改密码从而登陆后台，开始爆菊之式是不是有点邪恶了。

5.png

小技巧炫耀完毕，是不是很能装个好逼了？其实我也不知道会不会成功，只是想到了就去尝试下而已。

True mastery of any skill takes a lifetime.

对任何技能的掌握都需要一生的刻苦操练。

杰森黑客博客

http://hackjason.com/post-45.html