其他的逻辑漏洞还有

注册： 短信轰炸 验证码安全问题 密码爆破 邮箱轰炸 用户任意注册、批量注册 用户名枚举 XSS（有框的地方就可以尝试插XSS）

登录： 短信轰炸、验证码安全问题、密码爆破、邮箱轰炸 SQL注入 撞库 抓包把password字段修改为空值发送 认证凭证替换、比如返回的数据包中包含账号，修改账号就能登录到其他账号 Cookie仿冒 修改返回包的相关数据，可能会登陆到其他的用户

找回密码： 短信邮箱轰炸、短信邮箱劫持 重置任意用户账户密码、验证码手机用户未统一验证 直接跳过验证步骤

购买支付、充值（要利用抓包去仔细查看每一个可用的参数）: 交易金额、数量修改、更换支付模块（比如更换支付的模块金额） 交易信息订单编码/导致信息泄露 整数溢出，int最大值为2147483647，超过最大值 修改充值账户 支付绕过 抽奖活动 刷奖品、积分 并发 优惠卷、代金卷 并发逻辑漏洞（burp批量获取优惠券） 修改优惠券金额、数量 订单信息 订单信息遍历、泄露 订单信息泄露导致用户信息泄露 删出他人订单

会员系统: 修改个人信息上传文件，上传带弹窗的html 如遇上上传xlsx、docx，可能存在XXE，上传恶意的文档盲测 图片上传也可能遇到imagereagick命令执行，上传恶意图片 视频上传如果使用ffmpeg<3.2.4（视频按帧分割成图片），上传恶意avi盲测ssrf 用户横向越权访问、遍历、导致用户信息泄露 SQL注入、个人简历处存储XSS个人信息注册的名称也可以插入XSS

传输过程: 明文传输账户密码 修改信息处无session/token导致csrf POST/COOKIE注入

评论: POST注入 存储型XSS 无session/token导致CSRF

以上所有已提交漏洞平台且得到修复。