水一篇众测的漏洞报告—两分钟看完

原创 猎洞时刻 猎洞时刻 2024-06-02 09:00

免责声明

本公众号“猎洞时刻”旨在分享网络安全领域的相关知识，仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。
本公众号中提供的所有内容都是基于作者的经验和知识，并仅代表作者个人的观点和意见。这些观点和意见仅供参考，不构成任何形式的承诺或保证。
本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技术所造成的任何损失或伤害负责。
本公众号提供的技术和工具仅限于学习和研究之用，不得用于非法活动。任何非法活动均与本公众号的立场和政策相违背，并将依法承担法律责任。
本公众号不对使用本公众号提供的工具和技术所造成的任何直接或间接损失负责。使用者必须自行承担使用风险，同时对自己的行为负全部责任。
本公众号保留随时修改或补充免责声明的权利，而不需事先通知

今天正好闲来无事，最近公众号更新太少了，主要是最近事情太多了，很多事情都耽误了，今天正好抽空水一篇文章，哥哥们勿骂。

其实对于众测，还有src，有人能挖到，有人挖不倒，最主要的原因不是技术不到位，而是没有细心和耐心挖掘，其实那些大佬，大部分漏洞很多都很简单，你上你也行，但是你就是挖不倒，因为没有耐心。

就比如我这一篇文章，卧槽，这是个人都能挖到。。。。也是众测项目中的实战漏洞案例。

通过信息收集，找到一个小程序，开局只有50积分，看见积分我就兴奋了，玛德，直接上并发大法。

直接在签到的时候，进行抓包，设置好并发参数，直接开始进行测试。

不出所料，直接多出了不少积分，也成功并发成功了！多简单啊，这不是送钱的漏洞，谁上谁都行，主要看有没有耐心搜集和去坚持挖漏洞。

可以看到，并发从成功，积分也成功到账了。

这里要注意，之前遇到一种情况，是在并发的时候成功了，但是去查看积分的时候，并没有成功到账，这个问题要仔细去检查一下。

好了，水完了，这个漏洞就这个简单，就是送钱的漏洞。感谢各位师傅的观看！

公众号后台回复【240601】可领取一份xss payload典藏版

注册公司和非网安勿进

欢迎加入猎洞内部圈子

如果师傅您感觉自己挖掘漏洞很困难，但是又觉得报课程太贵，不如尝试限时79元永久加入我们圈子，内容包括企业src赏金报告，众测赏金报告，CNVD/Edu 漏洞报告和挖洞思路，助您快速获得赏金！
圈子内容180+ 师傅人数160+ 并且内部圈子会分享项目，一个洞就让你几倍回本！

---

想进入交流群或者咨询内部圈子的师傅，请扫码下方二维码加我微信，备注“加群”。