交友约会神器 哈哈

1 任意手机注册 手机动态码可遍历得到(手机号未注册)

打开软件 提示各种登录方式，我们选手机或邮箱登录，然后再选忘记密码

这么牛X得手机号竟然没有注册
 

好吧，我来注册下

提示输入四位动态验证码

随便输入下

抓包 然后暴力破解 1111 - 9999

还挺快 出来了

2 重置用户密码

第一个得时候 在手机号未注册时会提示让其注册，但是已经注册得手机号 会下发 6位动态验证码 同样对错误提交次数没有验证，导致可暴力破解得到

电脑太烫了 不跑了

3 个人账户无限刷金币 ，支付得漏洞在app端 （web端做了验证，app就不做了嚒）

购买金币处，对支付金额做了验证，但是没有验证金币数目，

点击购买第一个12元 1200金币 抓包修改金币数120000

继续支付， 成功了

修复方案：

增加动态验证码错误次数

支付加强验证