WooYun.org

http://3g.i.xywy.com/index/login
上次发现的是这个3G的登陆接口，这次这个是主站的登陆接口：http://passport.xywy.com/member/login.htm?ucback=http%3A%2F%2Fwww.xywy.com%2F，可以看到这个接口也是没有任何登陆限制的，以为也是要和3G的接口一样输入错误几次之后才出现验证码之类的，结果这个接口连验证码都没有

然后抓包查看一下，发现用户名和密码也是明文传输的，不过这个接口和上一个明显不同，这个抓包之后需要forward一下才可以看到明文的的用户名和密码

然后开始撞库，看到出来了几个用户就停止了

随便选择两个看看全部登陆成功

如果用户填写了资料的话，那全部都可以看到了，就可以进行大规模撞库然后抓取信息，医药网站的数据如果黑产利用的话。。