各功能点漏洞测试项四（政务行业）

♥♥♥♥♥♥

一、登录

业务逻辑漏洞：暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过；

二、注册

业务逻辑漏洞：恶意用户批量注册、恶意验证注册账户、存储型xss；

三、密码找回

业务逻辑漏洞：重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改；

四、后台管理

业务逻辑漏洞：管理员用户名密码绕过、目录遍历；

五、业务查询

业务逻辑漏洞：恶意查询、办理人信息泄露；

六、传输过程

业务逻辑漏洞：cookie注入、cookie跨站、cookie劫持；

七、评论

业务逻辑漏洞：post注入、csrf、存储型xss、遍历用户名；