qq_45196785的博客

2、下载VMware-tools-12.4.5-23787635-x86_64.exe。无法连接更新服务器。请检查您的 Internet 设置或联系您的系统管理员。1、更新Tools报错，宿主机Windows11，虚拟机Windows10。5、重启虚拟机，这里最好使用VMware重启。3、拖进虚拟机中，双击安装。4、典型安装，下一步。

1、反编译后的APP代码拖到Jadx中报错，源代码无法显示。2、将代码拖到GDA中成功显示源代码。

3、破坏社区和声誉：利用这样的漏洞来不断击败低等级玩家，不仅影响了游戏的平衡，还可能引发社区内的矛盾和不满。长期下去，这会削弱玩家社区的团结和正性，造成更多玩家的流失，最终影响游戏的成功和可持续发展。1、破坏游戏平衡和公平性：通过这种方式不断地击败低等级的新玩家来提升自己的等级，这种做法严重破坏了游戏的平衡性和公平性。6、有一个小窍门，targetId即为用户id，最大的用户id代表最新注册的用户，等级一定不高，遍历新用户区间，连续胜利+1。1、挑战成功加分，失败减分，存在段位机制，段位影响榜单排名。

2、版权和知识产权侵犯:未经许可的课程内容访问可能涉及版权和知识产权的侵犯，可能导致课程内容的非法传播，损害原创内容的独特价值。1、收入损失:用户能够访问并使用本应付费才能获取的课程内容，这会导致正常的销售渠道受损，对厂商的收入构成直接负面影响。3、服务声誉损害:当漏洞被公开或大量用户利用时，信任度降低，服务的品牌价值和市场声誉可能长期受损。6、questionIds=141，越权到另一门课会员付费题目，这门课不在我的课程中。7、questionIds=3269，越权到另一门课会员付费题目。

3、修改extendSceneName参数为study3Day，fuzz addCoinNumber和extendSceneName参数，得出签到3天获取5金币，签到5天获取10金币。2、经济模型失衡：金币作为系统内的一种经济激励，如果能够轻易地通过漏洞获取，将导致系统预设的金币分配和累积机制失效。3、增加作弊行为动机：一旦漏洞被发现并被公开，或者讨论起来，它可能激励更多用户去尝试和利用这个漏洞。1、连续签到获取更多奖励，1天，3天，5天，此时金币数量375。2、签到1天获取3金币。

2、权限提升漏洞：正常情况下，普通用户的每日使用次数是有限的，用完后系统会提示用户升级权益以获取更多使用次数。然而，由于系统在扫码登录流程中没有进行恰当的用户权限校验，攻击者可以利用此漏洞绕过限制，使用其他用户的无限使用权益（例如免费套餐次数），导致正常用户的权益被不正当使用。1、缺乏二次验证漏洞：系统允许用户扫码进行登录，但没有实施任何形式的二次验证（如提示用户允许或拒绝登录）。5、正常扫码登录应该提示用户允许/拒绝登录，用户看到扫码提示登录也就意识到被骗，这里使用的另一个系统举例。

3、声誉和信任受损：如果一个系统允许此类漏洞存在并且被广泛利用，该平台的声誉可能会受到损害，导致用户对系统的信任度降低。这不仅会影响现有用户的留存率，也可能会影响新用户的增长，因为潜在用户可能会因安全性考虑而回避这个平台。这种漏洞可能导致货币贬值，因为它增加了货币的供应，而这对于那些通过正常玩游戏获得金币的玩家来说是不公平的。2、游戏体验质量下降：使用这种方法获得金币的玩家可能会获得不合理的进展速度或优势，这会破坏其他玩家的游戏体验和乐趣。2、正常情况，完成一次任务获取金币数量2，金币数量应该变为6。

2、服务价值贬损：当会员服务可以通过不正当手段免费获取时，它的价值会被稀释，对真正付费的会员造成不公平。3、合法性与信任问题：这种漏洞的存在可能违反了电子商务的合法性和交易安全性，减少了用户对平台的信任。此外，如果不解决这个问题，还可能面临法律和合规风险。1、收入损失：如果用户能够频繁利用这个漏洞进行零元购会员服务，平台将面临直接的经济损失，因为这些会员本应是平台重要的收入来源之一。2、遍历vipGoodsId，发现多个价格"price":0零元购隐藏商品，此处为30天月卡。

4、安装podman-compose 1.0.6后--version报错。5、vi ~/.bashrc，在文件末尾添加以下行。3、下载podman-compose 1.0.6。7、--version回显。2、podman安装成功。6、source生效。

2、破坏市场公平性：正常付费的用户可能会感到不公平，因为有人可以不付费即可获得相同的服务。这种不公平可能会使合规用户感到愤怒和失望，减少他们对平台的依赖，甚至使他们转向竞争对手。3、品牌和信用损失：这种漏洞的发现和潜在的广泛滥用可能会损害平台的品牌信誉。信誉是商业成功的关键因素之一，一旦失去了客户的信任，恢复品牌形象会非常困难并且耗时。1、经济损失：通过这种方式，用户可以绕过正常的支付流程来获取付费课程，这会导致平台无法从这些课程中获得收入，直接影响了平台的营收和盈利能力。5、A栏目零元购16门课程。

此外，如果这些特权不再是独有的，那么为这些服务付费的用户可能会觉得自己的投资被贬值，从而对平台产生不满。1、隐私泄露风险：返回包含个人敏感信息的数据（如身高范围、星座、属相等），如果被越权访问，可能会导致用户的隐私信息泄露，这违反了数据保护法规和隐私政策，对用户的隐私权可能造成严重侵犯。4、返回包泄露身高范围height，星座constellation，属相zodiac，恋爱目标purpose，教育程度degree，成功越权VIP功能。VIP，SVIP功能前端不可见，认证需要证件上传保证真实性。

2、发现orderCode订单号，orderTime订单时间，此处订单号是二手商品转卖前的原订单号。2、存在一键转卖功能，B平台发布二手商品可以选择自行发布，也可以选择从A平台一键转卖。1、卖家大部分都为个人用户，不存在客服/售前等中间人，可直接攻击到用户本身。4、以北京天通苑为例，精确到六位数可具体到xx小区xx楼xx号。3、存在当前用户距离也就是定位，以及上线时间。2、根据定位经纬度可查询用户具体家庭住址。3、泄露用户定位经纬度，精确到六位数。5、查询用户定位到xx街道xx号。

对于那些支付会员费用或购买内容的用户，这种情况会导致不满和觉得不公平，最终可能导致用户流失和品牌声誉受损。1、收入损失：对于依赖会员订阅或单次购买来获取收入的内容提供商来说，如果普通用户能够绕过支付机制访问付费内容，这直接导致收入损失。长期来看，这种损失可能会影响内容的质量和多样性，因为收入下降减少了可以投入到新内容创作和现有内容维护的资金。2、版权和合法性问题：此类漏洞可能使平台或服务违反与内容创建者和分销商之间的协议，这可能涉及法律责任。1、会员/付费书籍后续章节需开通会员/付费解锁。

5、由于int整型范围-2147483648～2147483647，避免溢出，此处修改请求包中coinNum参数为2147483640。6、返回查看金币数量变为2147483640。1、金币可兑换虚拟物品。2、金币可在购物时抵现。4、观看广告获取奖励。

2、数据安全和知识产权问题：高清图片和音频课程是APP的核心资产，如果被未授权的公开访问或下载，那么APP的数据安全就会受到威胁。1、收入损失：如果非会员能够受益于会员的特权，比如下载高清图片和听取音频教程，那么许多用户可能就不再购买会员资格。3、未授权下载zip，打开其中的index.html，F12发现会员课程缩略图存在像素参数pixel=30000。5、APP核心业务是提供图片阅读+音频朗读，结合上一个漏洞泄露会员课程audioUrl音频，成功越权完整会员功能。1、会员课程均为未解锁状态。

3、用户信任和品牌形象受损：安全漏洞的存在和被广泛利用表明平台在维护数据安全方面的不足。这可能导致用户对平台的信任度下降，对品牌形象产生长期负面影响，进而影响用户留存和吸引新用户的能力。1、经济损失：如果用户能够未经授权地下载VIP课程的音频内容，这会减少用户购买VIP会员的动力。对于那些依赖会员订阅模型获得收入的应用或服务来说，这种行为可导致显著的收入损失。2、版权和知识产权侵犯：未授权下载音频内容可能违反版权法和知识产权法。1、进入任意VIP课程，课程存在17个小节，核心业务是提供音频朗读功能。

1、数据安全和隐私问题：通过商品ID的可预测性，恶意用户可能会利用爬虫脚本来访问并收集商品信息，包括可能未公开的或敏感的商品详情，从而侵犯用户隐私。1、发布iPhone二手商品，通过关键词无法搜索到我的商品，存在同步延迟，三天后再次搜索仍然搜不到我的商品。2、无法搜索商品，商品搜索功能经测试，新发布超过三天仍无法搜索，爬虫增加难度。

1、经济损失:漏洞的利用可能导致直接的经济损失，例如未授权的服务获取或金钱盗窃。3、法律和合规风险:依据涉及地域的法律，公司可能因为信息安全漏洞而面临法律诉讼或罚款，尤其是如果漏洞违反了数据保护法律或行业特定的合规要求。5、点击立享优惠，替换118元年卡返回包为第三步98元返回包数据，微信扫码支付此时显示98元。7、查看微信花费98x2=196元，购买了118x3=354元的会员，半价购买。4、购买后，年卡价格变为118元，且不赠送6个月时长。1、新人礼包，年卡98元，赠送6个月，相当于一年半。

3、信任度和品牌损害：当用户可以轻易绕过支付进行的内容保护时，可能会对平台的安全性和专业性产生疑问，损害用户的信任。长期看，这可能影响用户基础和品牌声誉，导致现有用户流失并且更难吸引新用户。1、经济损失：用户无需成为会员即可通过简单地更改URL获取会员内容，这将削弱用户购买会员服务的动机。因此，这可能导致对提供此类在线服务的企业或平台产生严重的经济损失。这不仅损害了内容所有者的权利，还可能引起法律纠纷和额外的执行成本。3、修改URL中的49为50，纯数字递增加一，输入任意数字如295，均返回数据。

m=&c=hall&a=index（官网是总榜，年榜只有海报）