1。在火線測試某src時發現一個介面，域名為xxxa。xxx。com，是一個登入介面，發現該介面支援使用手機號登入以及註冊功能，測試後發現該網站使用的簡訊驗證碼為123456

2。因此用腳趾頭都能想出來的洞就有了。任意使用者註冊，任意使用者登入，雖然沒有修改密碼功能，（少了一個任意使用者修改密碼），但是多個企業使用者註冊（多個企業使用者任意註冊漏洞）。

3。於是乎我一溜煙的提交了三個漏洞，在半小時後漏洞便過了稽核，但是定級是低危，我有點疑惑，因此去詢問工作人員，工作人員的答覆是，雖然可以任意使用者註冊，但是登入不上，我就開始疑惑了，我明明可以登陸上，為什麼他登陸不上，於是我申請再進行測試，但是我又驚呆了，企業已經將此修復，驗證碼變了，我突然感覺有理說不清，感覺死無對證，工作人員也是一再重複說稽核沒成功登入。那我能怎麼辦，只能是吃虧了。

4。過了三天，我感覺心裡不是滋味，怎麼能高危變低危呢，因此再去看了一下那個站點，驚奇的發現又把驗證碼改回來了，於是我一頓操作，但是在我登入時也是出現了假登入問題（登入成功後顯示登陸成功，但是一點選個人介面就會跳轉到xxx。xxx。com讓你再次登入），在觀察後發現他跳轉後的域名是xxx。xxx。com和我之前的域名xxxa。xxx。com少了a，於是我將域名再次改為xxxa。xxx。com再次登入，成功登入，於是我一溜煙的截圖儲存為文件，對漏洞進行再次扯皮，最終給我補了48分。任意使用者註冊以及任意企業使用者註冊給了邊緣地位，登入給了邊緣高危。但是我看了評分規則剛開始給我評低危時候是按照一般業務評價，最後增加了危害級別，卻是把資產從一般資產降級為了邊緣資產，因此我又進行了詢問，官方說，剛開始不知道是測試環境，現在知道了是測試環境，因此為邊緣。哈哈哈我能怎麼辦，一切解釋權都由官方所有。我總不能說：請問你們怎麼證明這個是測試環境呢？

5。大致流程

6。其實我也不知道這個操作的原理是什麼，為什麼第一次登入沒有成功，第二次卻成功了。

有知道的師傅希望在評論區解答一下。

該貼來源於火線zone社群：（

https：//zone。huoxian。cn/d/384

）