我与x不同戴天

有的东西我是真的受不了

随便点击一个  发现要付费

思考 ：这是js弹窗 考虑是不是可以通过修改js代码绕过  抓包

这里测了一遍没发现有啥  抓一下返回包

然后返回包里 发现了这段js代码 是跳转的 

考虑删除它 不让他跳转 能否绕过

发现成功 但是内容让人唾弃

第二个

在注册界面 登录界面 尝试了 越权还有sql 没成功

进入后发现有个充值功能

点一个 抓包

猜测 price为金额 day为天数 尝试修改金额为0或者负数不成功 

但是修改天数可以成功 然后进入爆破模式 

将每次增长改为0.1最后测得金额最小为30 天数可以为99999

原文始发于微信公众号（猫因的安全）：我与x不同戴天