No.0
前言
挖SRC发现的新的奇特思路,思路简单 师傅轻喷
No.1
开始正文
付费接口免费调用,越权导致薅羊毛
点击查看更多
再点查看更多,跳到
点击右边立即查看是需要vip
在js中存在外部调用,也就是该资源是外调过来的
/crm/web/sjb/toker/contact/queryContactDetail
我们再看
种是属于付费接口免费调用,越权导致薅羊毛
如果说别人花钱买VIP可以看到打马赛克的信息
那我没有花钱也能看到,这是不是就说明越权查看到了本来看不到的信息了
那么你们调用的接口也就意味着没有用了
那么还会有人花钱买VIP吗?
原文始发于微信公众号(迪哥讲事):某大厂Src实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论