论坛的密码忘了,不想接收会被我删除的重置邮件,也不想在3次尝试密码错误之后封禁15分钟. 于是用fiddler抓包看了看,每次换验证码的时候都会更换一个PHPSESSID .于是,用fiddler的RequestBuilder用相同的SESSIONID构建请求,试了几次常用密码之后登录成功了!一个网站这样的话该是多大的隐患.这东西的学名叫session fixation attacks(固定ses