1.公司发布了一个新的系统,boss要求免登陆加入部门首页
2.部门信息化平台当然不能和公司网站公用一个域名咯
3.方法一,根据超链接地址,发现一组数据作为request值传给了**.do,后面直接使用这个地址就可以免登陆进入系统,但是数据本身是被加密过的,这里又不知道加密的算法,此路不好走
4.方法二,忽然发现直接访问**.do就是登陆界面,而且不用输入验证码,对于我这种小白来说真的是再合适不过了,于是就伪造了一个登陆界面
1 2 3 4 527 28无标题文档 6 15 16 17 18
这里为了公司保密需要,就用'*'替换掉了一些信息,但是不影响阅读
5.一个更简单的方法,直接将Post的值作为Request参数放在超链接中
http://wz*.******.com/x**m/r**c/log*tion.do?loginName=**&password=**&groupId=*&passwordA=*&attachCode=*&showAttachCode=0*&rmbUser=on**
好吧,这样就行了,至于JS伪造http请求,还没学会,就酱吧先