【SRC实战】一键完成全部任务获取奖励

最新推荐文章于 2024-06-15 17:56:42 发布
最新推荐文章于 2024-06-15 17:56:42 发布
阅读量216 收藏
点赞数 2
分类专栏: SRC实战 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45196785/article/details/138661062
版权

挖个洞先
https://mp.weixin.qq.com/s/LkPfJuuP1K8vaFXRn-8wVg

“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”

01

漏洞证明

一、业务逻辑

“ 如何欺骗APP完成任务获取奖励? ”

1、记录金币数量20

在这里插入图片描述

2、浏览商品详情页
在这里插入图片描述

3、点击浏览提示跳转抖音
在这里插入图片描述

4、不进行跳转,点击取消,金币数量加5,此时金币数量25
在这里插入图片描述

二、修改awardCount

“ awardCount=奖励次数是否可以修改? ”

1、记录金币数量35

在这里插入图片描述

2、此时观看视频任务完成了2次,每次加5金币,还有3次机会

在这里插入图片描述

3、先通过此数据包获取服务器时间

在这里插入图片描述

4、respData值参数即为服务器时间

在这里插入图片描述

5、将respData参数填入完成任务数据包,awardCount默认值为1,修改awardCount参数值为10
在这里插入图片描述

6、返回包中amount参数代表获取金币数量,5x3=15,一键完成3次观看视频任务

在这里插入图片描述

7、记录金币数量50,35+15=50
在这里插入图片描述

8、经测试,全部任务均存在漏洞
在这里插入图片描述

02

漏洞危害

1、跳过浏览商品详情页减少卖家流量推广

2、跳过观看视频任务减少公司广告收入

挖个洞先
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Python实战】批量爬取微博素材,一分钟百张大图自动下载
u010890916的博客
06-30 4346
目录前言一、思考逻辑二、观察URL三、微博爬虫四、下载保存结尾 前言 大家好,我是Samaritan。 这期本来想做个咸鱼 写个学习笔记发的,然后没做成咸鱼 临时变卦,再写一期实战。 事情是这样子的,这周我的好友Brenda老师跟我闲聊: 这么一说确实有不少朋友平时也会用微博找素材,或者是关注一些会发美图的博主。 本着尽早让Brenda老师解放双手为目标,我打算立刻动手,说干就干。 也借此实战机会写一期博文,将我的心得和代码分享给大家。 请注意,这也许只是个简单的爬虫,但如若感到不尽人意,你完全可以在此基
SRC漏洞挖掘实战经验总结
10-28
最近几年总结收集的SRC漏洞挖掘实战经验,希望对你有帮助。
【游戏开发实战】Unity从零做一个任务系统,人生如梦,毕业大学生走上人生巅峰(含源码工程 | 链式任务 | 主线支线)
linxinfa的专栏
07-25 2万+
【游戏开发实战】Unity从零做一个任务系统(含源码工程 | 链式任务 | 主线任务 | 分支任务
有哪些值得推荐的数据可视化工具?
leoking01的专栏
05-02 1万+
作者:文兄 链接:https://www.zhihu.com/question/19929609/answer/133825589 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 谢邀。本答案提要:1.plotly 2.R ggplot23.无需编程语言的工具(7个)4.基于JavaScript实现的工具(8个)5.基于其他语言的工具(5个)6.地图数据可视化工具(7个)7.金融(股票)数据可视化工具(2个)8.时间轴数据可视化工具(2个)9.函数与公式数据可视化工具(2个
html静态网站基于游戏网站设计与实现共计10个页面 (仿地下城与勇士游戏网页)
网页设计与制作 | HTML+CSS+JS
10-28 551
🎮游戏官网、⛹️游戏网站、🕹️电竞游戏、🎴游戏介绍、等网站的设计与制作。⭐ 网页中包含:Div+CSS、鼠标滑过特效、Table、导航栏效果、banner、表单、二级三级页面等,视频音频元素,同时设计了logo(源文件),基本期末作业所需的知识点全覆盖。🏅 一套A+的网页应该包含 (具体可根据个人要求而定)📔网站布局方面:计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。📓网站程序方面:计划采用最新的网页编程语言HTML5+CSS3+JS程序语言完成网站的功能设计。并确保
gitub优秀的android开源项目
it_xlj的博客
12-31 9961
原文地址为http://www.trinea.cn/android/android-open-source-projects-view/,作者Trinea 主要介绍那些不错个性化的View,包括ListView、ActionBar、Menu、ViewPager、Gallery、GridView、ImageView、ProgressBar及其他如Dialog、Toast、EditText、
白嫖党进,全网最详细的信息安全术语合集终于来了
南迪叶先森
06-30 5488
白嫖党进,史上最详细的黑客术语合集终于来了 公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 前言 ​ 全文分为从攻防两个方面分析,攻击篇主要有攻击工具、攻击方法、攻击者,防守篇从软硬件,技术于服务,共总结了超过200个常用的网络安全词汇,如有不当或者疏漏之处,欢迎留言处指正补充。 一、攻击篇 1、攻击工具 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备,用于发动 网络攻击。 例如在2016年美国东海岸断网
devsecops的理解与建设
Shanfenglan's blog
03-02 4748
文章目录1.前言2.devops3.devsecops3.1 SDL3.2 devops对SDL的挑战3.3 DevSecOps原则1.安全左移2.默认安全3.运行时安全4.安全服务自动化/自助化5.基础设施即代码6.利用持续集成和交付7.需要组织和文化建设4.devsecops实践参考文章 1.前言 时常看到devops、devsecops可以一直没有用心研究过,今天对其做一个小小的研究与总结。 2.devops devops的中文含义是development & operation,也就是开发与
Notes Twenty one days-渗透攻击-红队-权限提升
qq_34801745的博客
10-07 1万+
** Notes Twentieth Day-渗透攻击-红队-权限提升(dayu) ** 作者:大余 时间:2020-10-5 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
jquery获取img的src值的简单实例
10-22
下面小编就为大家带来一篇jquery获取img的src值的简单实例。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java 获取Html文本中的img标签下src中的内容方法
08-27
今天小编就为大家分享一篇Java 获取Html文本中的img标签下src中的内容方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue src动态加载请求获取图片的方法
10-17
主要为大家详细介绍了vue src动态加载请求获取图片的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
jquery img src 获取实现代码
01-19
请“运行代码”后刷新一次。 jquery img src怎么取 [Ctrl+A 全选 注:如需引入外部Js需刷新才能执行]
2024中国网络安全产品用户调查报告(发布版)
2301_76786857的博客
06-12 681
本报告正是安在新媒体发起,基于“诸子云社群,以“取之于民,用之于民"的方式,反馈“甲方"眼中的中国网络安全市场情况,为网络安全行业提供来自网络安全企业用户视角的参考。自2020年始,人类进入了21世纪的第二个十年,全球进入了百年未有之大变局,新十年的开始即被新冠疫情逆转了全球化发展的历程,而至2022年3月俄乌战争又突然爆发,紧接着2023年7月“巴以冲突"皱起,世界快速进入动荡中,不确定性激增,网络对抗愈演愈烈,导致中国网络安全市场和环境受到重大影响。
网络安全攻防基础入门笔记--操作系统&名词解释&文件下载&反弹shell&防火墙绕过
最新发布
谜语人的博客
06-15 804
全程Proof of Concept,中文"概念验证",常指一段漏洞证明的代码。
网络安全(补充)
m0_62207482的博客
06-15 198
物理安全威胁一般分为自然安全威胁和人为安全威胁。自然安全威胁包括地震、洪水、火灾、鼠害、雷电;;;;人为安全威胁包括盗窃、爆炸、毁坏、硬件安全 防火墙白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止 防火墙名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许 将入侵检测系统置于防火墙内部,使得很多对网络的攻击首先被防火墙过滤,也就是防火墙是首当其冲的,从而减少了对内部入侵检测系统的干扰,提高入侵检测系统的准确率,但是其检测能力不会变化 通过VPN技术,企业可以在远程用户、分
网络安全突发事件应急预案
2301_76786857的博客
06-15 443
网络安全突发事件应急响应结束后,事发单位要及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后 10 个工作日内形成总结报告,报网安办。网安办汇总并研究后,在应急响应结束后 20 个工作日内形成报告,经领导小组批准,报部应急办。
企业src漏洞挖掘实战
05-24
企业SRC漏洞挖掘实战是指在企业级应用程序中寻找安全漏洞,并提供相应的修复方案。以下是一些实战技巧: 1. 了解应用程序:深入了解应用程序的结构和功能,对其进行分析,有助于找到潜在的安全漏洞。 2. 审计代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值