网页手机号抓取程序( 不是post重放登录的接口方法用的是get方法？ )

　　网页手机号抓取程序(

不是post重放登录的接口方法用的是get方法？

)

　　将下载的文件名后缀改为.cer，电脑为.der，手机直接点击文件安装，选择使用方式为WLAN

　　安装证书后，PC可以捕获所有与手机相关的http和https数据包

　　于是我打开了12333的社保登录。众所周知，这种网站一般都是外包的，一般都比较烂。反正我经常找不到资料。

　　只是重放一个数据包，不管是修改url后的参数值还是post的参数值，返回的响应都是一样的，那么这些参数值你长得像吗？

　　再看登录数据包。login的接口方法使用get方法，而不是post。

　　重放登录数据包，去掉header中的cookie，使用正确的密码和账号正常登录。

　　然后去掉Referer，跳转链接信息，还是正常登录，url后面跟着好多参数，不知道是干什么的，估计大部分都没用，不然replay肯定不行登录，结果是可以正常登录

　　url后面的参数包括登录账号和密码。密码由 md5 加密。登录账号未加密，每次提交数据登录，不需要其他一些有效参数或验证码，可以多次提交。密码错误10次将导致帐户锁定

　　然后脚本可以构造各种*敏*感*词*号和手机号，使用脚本用错误的密码登录。如果该帐户有10次错误登录，该帐户将在24小时内被锁定。这些存在于互联网上的账户基本上都会被锁定。当然，我不会这么偷懒，但这确实是这个登录界面的问题。