小迪day36打卡，逻辑越权这一快总算是讲完了，这几天听着都挺蒙的，感觉这一块学的不是太好，小迪也不太好演示什么实例，所以也不大好讲。今天主要学的就是关于验证码方面，token方面，以及接口方面的安全，验证码这一块可以使用工具captcha-killer，Pkav_Http_Fuzz,reCAPTCHA等，token可以被利用必须是在客户端会将token值显示出来。主要做的是pikachu靶场的暴力破解这一块，利用了前端验证码，验证码可以服用，以及token爆破这几个漏洞。最后还讲了callback自定义返回调用安全问题，说是可以利用这种接接口进行csrf，听得不是太懂。就这样吧！