1、在漏洞平台，公益SRC上，找一个网站，找到登录处2、抓包，发现密码明文，放到Repeater，多次Gｏ，发现没有验证码，也不限制次数３、进行爆破，得到密码（自己注册的号，容易爆破）４、当我在次返回登录处，发现竟然又要验证５、于是再次抓验证包，放到Repeater，多次Gｏ，发现这次需要验证６、对比之前抓的包，发现cookie多一段，删除多出的，再次Go，就不需要验证了７、拿到账号、密码进行登录