该网站的任意登录其实都已经提交得差不多了，本来以为这个漏洞会是一个重复的，然而试了一下发现思路奇葩。

　　任意登录，一般都为验证码爆破，4位手机验证码，而用于拦截的图片验证码没有或者可以重复使用，所以就能爆破。测试的话，也只需要截取数据包，然后将验证码intruder一下，看返回的内容是否都是密码错误，如果intruder一定次数后显示验证次数过于频繁，就没法爆破了。或者是intruder的时候，刚开始爆破的那几个验证码肯定是会返回密码错误的长度，之后如果Length全都变成另一种，多半就是次数被限制了。

　　说回这个漏洞，这个漏洞的精彩之处在于，不是通过一般的登录接口登录的，而是这样一个流程：

　　1. 提交申请

　　2. 在申请表中验证手机号

　　3. 验证成功后->申请提交了->顺便也就登录了

而在申请表验证手机号的时候并没有做爆破限制，所以这是个有点奇特的爆破，找到一个别人没有找到的登录口。

-875