01
🔒 #SRC漏洞#攻防案例 #直播 #技术分享 🔍,关注公众号,设为星标,不错过每次直播!
02
案例
来到页面
通过注册功能注册账号登陆系统
来到个人资料这里
发现了增加积分的一个规则
“补充个人信息每项可以增加 1 积分,补全可额外获得 10 积分哦~”
这个规则师傅们的理解是什么,怎么造成无限刷积分呐,
相信大家第一首先想到的都是并发,改返回包,来我们来仔细看看
在这个编辑的过程中,流量都走了些啥
总共流量就走了这四个包,
我们来分别看看这4个包都是怎样的
第一个包,是一些地区的选项,不用说这个直接跳过
来看第二个包
继续,来看第3个包,这个包就是我们在编辑的信息,也就是说我们在操作这个包的时候,如果能全部补全完一次性,则可以加10积分,如果一个一个补全,则是1积分1积分的加
再来看第4个包
这个包就是和我们的积分的情况。
那么看了这4个包,你觉得那个包会出现问题呢?你的操作会有哪些呢?
这里我就不给大家绕圈子了,仔细读取规则
“补充个人信息每项可以增加 1 积分,补全可额外获得 10 积分哦~”
那么我们是不是可以将我们补全后的信息,有置空,然后再去补全,会不会造成他逻辑上的一个失误呐
我们来到第3个包,操作
将这3个参数置空,然后我们在填信息发过去,仔细观察data的值!!
data变成了3
这个时候我们来刷新界面
成功增加3积分,大家就会想,可不可以直接改data的值,这里我试过,是不行的,只是欺骗前端,
因此我们这里可以自己写一个脚本,先加载置空的包,然后再加载填数据的包,一直循环,那么我们就可以实现一个无限刷积分的效果。
最后成功无限刷取
03
关于知识库&知识星球
SRC&众测漏洞:更新团队日常挖到的漏洞案例并配套直播或录屏讲解(不论简单或复杂的),接收投稿,给予现金奖励。
攻防案例:更新团队攻防案例并配套直播或录屏讲解,接收投稿,给予现金奖励。
知识干货:更新日常总结的一些经验、干货、工具
目前星球包含:
内部&公开直播录屏
SRC、众测、渗透测试、攻防实战案例
渗透测试、红队相关原创知识笔记
今年将会新增车联网相关内容
Wiki部分内容展示:
更新记录:
加入星球&知识库-两种方式二选一
1.免费加入:原创文章投稿(原创、非水文、>1000字,不限类型)
2.付费加入:现价239元,考虑个人及团队更新动力和质量,价格随内容和人数增长而适当提高
加入联系(备注来意):
原文始发于微信公众号(长风安全):SRC实战逻辑漏洞-无限刷取积分
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论