招聘网站的测试思路

思路适用于大部分招聘网站，碰到了就是漏洞。

这里有限制，一个月只能申请5次

这里就存在漏洞点了 既然它限制我一个月内只能投递5份 那我突破他的那个限制，投递七八份 甚至十几份那么这就存在漏洞了。

说干就干

在个人主页完善简历

在bp历史流量中发现有投递职业的限制。

来到主页面，点击社会招聘，选择不同职位收集其职位ID。

url参数中的positionId便是职位ID，建议收集10个不同岗位的职位ID。

职位ID字典如下：

利用并发漏洞投递简历

来到主页面，点击社会招聘，选择任意职位了解详情。

点击确定按钮，拦截提交简历的HTTP请求包。

将此请求包发送至Turbo intruder插件，加载相应positionId字典。

验收结果

此时再投递任一岗位，提示如下：你已申请22个职位，本月不能再申请！