SRC | 从JS逆向到任意用户登录

主要观点总结

该文章主要描述了在测试登录接口时，发现验证码请求包存在sign校验的问题，通过逆向生成sign值的过程，造成了任意用户登录的漏洞。文章还涉及了使用JS脚本和Python脚本进行测试的过程。

关键观点总结

关键观点1: 文章主题和背景

文章主要围绕测试登录接口时发现的验证码双发问题，导致任意用户登录的漏洞进行描述。

关键观点2: sign校验问题

验证码请求包存在sign校验，逆向生成sign值的过程复杂，涉及多个未知函数的追踪和解析。

关键观点3: JS分析和脚本测试

通过JS分析，追踪了sign值的生成过程，并使用js脚本生成时间戳timestamp值和sign值，通过py脚本调用js，修改验证码请求包，实现了两个手机号码同时收到验证码的测试结果。

关键观点4: 漏洞影响和解决方案

该漏洞造成了任意用户登录的问题，文章未提及具体的解决方案，只是进行了问题分析和技术交流。