一、可以暴力破解用户名或密码没有验证码机制，没有根据用户名限制失败次数，没有根据ip限制失败次数等等。1.通常思路：直接拿密码字典爆破某一个用户名。拿固定的弱口令密码，去跑topxxx的用户名。如果只是用户名限制失败次数，可以使用思路2的方法。在存在返回提示用户名错误或者密码错误的情况下，可以分别爆用户名和密码。2.常见限制：有时候会发现用户名或者密码是密文加密，这时可能是通过前端或者其他方式加密，对于简单的来说base64编码和md5的签名是很好识破的，在爆破的时候可以选择encode和hash。二、session没有清空登出后服务器端的session内容没有清除，因此客户端重新带回登出前的session，也能够达到重新登录。通常思路：在登录退出后，拿退出前的session，重新访问需要登录的界面。

1.登录验证码未刷新没有清空session中的验证码信息。通常思路：1.抓包多次重放，看结果是否会返回验证码错误，如没有返回验证码错误则存在未刷新2.观察检验的处理业务，如果验证码和用户名密码是分2次http请求校验，则也可以爆破用户名和验证码。2.手机或邮箱验证码可爆破没有对应的手机号或邮箱，但如果验证码纯数字4,5位左右，没有次数校验，可以爆破通常思路：拿自己的手机号或邮箱先获取验证码查看验证码格式，之后多次提交错误的看是否有次数现在，没有就爆破。3.手机或邮箱验证码回显到客户端在发送给手机或者邮箱验证码时，会在response包中有验证码，因此不需要手机和邮箱就可以获取验证码。通常思路：发送验证码时抓包，看返回包。4.修改response包绕过判定在输入错误的验证码时会返回false之类的字段，如果修改response中的false为true，会识别为验证通过。通常思路：抓包，选择dointercept->responsetothisrequest,放包，抓到下一个包就是response的包，可以修改，重放。5.验证码轰炸在请求发送验证码的数据包中有字段控制验证码的发送，如请求包某字段true就是发送验证码，我们直接进行重放攻击。通常思路：抓取发送验证码的请求包，查找控制验证码发送的字段，放入重放攻击模块进行重放攻击。防御措施：有的只在前端验证，比如60s后才能重新发送短信验证码，但是后端没有验证，可以让他一直重发，耗尽他短信池的流量，一般用来做DDoS。