记录一次没账号的金融项目挖掘漏洞过程

这周又是来了一个金融项目跟甲方沟通过了，允许外网测试，但不提供账号，只提供测试资产。这对于我这个API挖掘工程没撒大的影响，毕竟我也就会擅长挖掘个API漏洞，其他漏洞不擅长。图片码都打死，知道过程是什么意思就好了。

在访问的时候，发现是一个打不开的页面，想到可能会有API加载，打开findsomething看看api接口，有几个接口

大致截下图，知道什么意思就行了。

通过fuzz这些API。通过扫描到这些API后发现其中的一个API能够访问后台

直接尝试admin/123456，一把就进去了。进去以后尝试功能点，提示

这也不能够放弃，继续进行点击功能点。找到了修改密码的功能点，功能点可用，发现一处高危，能交差了，手工。

原文始发于微信公众号（呼啦啦安全）：记录一次没账号的金融项目挖掘漏洞过程