1.公司发布了一个新的系统，boss要求免登陆加入部门首页

2.部门信息化平台当然不能和公司网站公用一个域名咯

3.方法一，根据超链接地址，发现一组数据作为request值传给了**.do，后面直接使用这个地址就可以免登陆进入系统，但是数据本身是被加密过的，这里又不知道加密的算法，此路不好走

4.方法二，忽然发现直接访问**.do就是登陆界面，而且不用输入验证码，对于我这种小白来说真的是再合适不过了，于是就伪造了一个登陆界面

1  2  3  4 
      5  6 15 16 17 18 
     
      19     
       20     
      21     
      22     
      23     
      24     
      25     
      26 
     
27 28 

这里为了公司保密需要，就用'*'替换掉了一些信息，但是不影响阅读

5.一个更简单的方法，直接将Post的值作为Request参数放在超链接中

http://wz*.******.com/x**m/r**c/log*tion.do?loginName=**&password=**&groupId=*&passwordA=*&attachCode=*&showAttachCode=0*&rmbUser=on**

好吧，这样就行了，至于JS伪造http请求，还没学会，就酱吧先