关于登录界面的漏洞分类

1.暴力破解（针对无验证码或者验证码易识别的登录界面）

2.sql注入

3.任意密码重置，任意密码注册。

4.四位数的短信验证码，0-9999（可爆破）

5.界面反馈有用信息（反馈过于详细） 

比如一个用手机验证码登录的界面，若果先验证手机号存不存在，那么就可以通过

爆破将其是否注册的手机号暴露出来进而泄露用户（比如羊毛党）

危害如：

（1）假如我是你们企业的竞争者，我可以跟这些手机号发广告，进而拉取本公司客户

（2）假如我是做黑产的，我可以给这些手机号发送诈骗短信，钓鱼

（3）撞库攻击，如把这些手机号放在自己的社工库中查询，进而匹配相应密码

等等等等危害。