—— 一个脚本小子的自我修养1. 开头:神秘任务“歪,在吗?

帮我个忙。

”好兄弟大半夜发消息,我就知道没好事。

“我最近在XXX小程序上认识个姑娘,聊得挺好,但她不肯发语音,也不视频……你懂的,怕遇到‘乔碧萝’。

”屏幕那头传来猥琐的笑,“你不是会点技术吗?

帮我看看她实名认证没?

”我:“?

你以为我是民政局查户口的?

”(保护隐私,上马▼)2. 线索1:小程序的“防君子不防小人”既然是兄弟的终生幸福(呸),我勉强点开小程序。

流程很简单:注册→登录→点【实名认证】。

关键突破口出现了!

抓包一看,实名认证的请求长这样:POST /xxx/authenticate HTTP/2 Host: 1.1.1.1{ "name":"随便写", "id_card":"110101199003077XXX" }我试着把身份证号改成《武林歪砖》邢捕头的——“邢X森,110101197604088888”(错误示范),结果系统秒回:“姓名与证件号不匹配”。

3. 骚操作:无限试错的“财富密码”重点来了:这个接口居然没有防重放!

理论上,我可以把全国14亿人的身份证轮流试一遍,直到匹配成功……(当然我不敢)于是我开始“科学测谎”:第一步:用朋友提供的女神姓名+编造的假身份证→返回“不匹配”(果然不是瞎填的)第二步:换了个网上找的真实姓名+身份证组合→返回“认证成功”!

系统此时:4. 终极反转:朋友,你还要找女神吗?

当我发现能无限“刷卡”时,突然意识到问题的严重性——这漏洞简直是灰黑产的“自助餐”啊!

随便写脚本轰炸,企业查一次实名认证起码花几毛钱,分分钟能让老板心脏骤停……于是我对朋友说:“别管什么女神了,你公司的竞品要是知道这漏洞,明天就能让他们破产。

”(手动狗头)5. 结尾:从狗血剧到社会责任朋友: “所以……她到底实名没?

”我: “早帮你测了,是真人了!

但赶紧劝那小程序修漏洞吧……”(最终我收获了朋友的奶茶答谢,以及——他又让我查另一个女生的学历信息,我反手就是一句:“滚,自己去学信网!

”)声明:测试已获授权(朋友的小号),漏洞第一时间上报。

技术是把双刃剑,切勿用于违法灰产!

本文所有故事情节均为虚构,漏洞测试均为测试环境。

1►福利放送 再次声明:本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失,GG安全公众号和原文章作者不承担任何责任。

edusrc邀请码 | 无问AI 积分兑换码 免费不限量提供edusrc邀请码及玄机邀请码,可在的菜单栏资源获取-edusrc邀请码 | 无问AI 积分兑换码中获取。

无问AI 积分兑换2►往期精彩edusrc高校证书测评绝版乌云重现:在VM中复活的安全宝藏!

钓鱼佬永不空军!

看我如何社g搞定学姐继而接管站点全部权限捡洞!

有手就行的信息泄露没手都行,小程序纯自动化捡洞工具护网在即,自动化"一键"钓鱼工具Wifi Pineapple(大菠萝)无线攻击