1、
注册时,请求验证码时只携带手机号,清除cookie,观察响应中是否包含cookie.如果包含,猜测存在手机号-cookie的绑定
那么,另外注册请求手机号和验证码,附带随机设置的cookie,进行提交。如果手机号和验证码通过,但实际写入数据表时使用的是前面发送验证码绑定cookie时的手机号,那么就可以导致任意手机号注册
2、
注册用户名带有敏感字符,进行存储型xss。注意可能的字符长度限制
3、
注销,判断是否将登录凭证cookie注销。以及登录时,是否会沿用请求携带的cookie凭证
会话固定漏洞
4、