一、可以暴力破解用户名或密码

没有验证码机制，没有根据用户名限制失败次数，没有根据ip限制失败次数等等。

1.通常思路：

直接拿密码字典爆破某一个用户名。

拿固定的弱口令密码，去跑topxxx的用户名。

如果只是用户名限制失败次数，可以使用思路2的方法。

在存在返回提示用户名错误或者密码错误的情况下，可以分别爆用户名和密码。

2.常见限制：

有时候会发现用户名或者密码是密文加密，这时可能是通过前端或者其他方式加密，对于简单的来说base64编码和md5的签名是很好识破的，在爆破的时候可以选择encode和hash。

二、session没有清空

登出后服务器端的session内容没有清除，因此客户端重新带回登出前的session，也能够达到重新登录。

通常思路：

在登录退出后，拿退出前的session，重新访问需要登录的界面。