SRC另类思路分享：不受限制的资源调用

SRC另类思路分享：不受限制的资源调用

0x00前言

对于SRC的挖掘思路，很多师傅已经给出了挖掘实用技巧。今天带来一篇本人的思路分享：不受限制的资源调用。

0x01.进入正题

相信在各位的学习、生活中都遇到过这样的页面

此处我以某厂商的云服务购买为例，由图可知，需要我们输入姓名、身份证、联系电话等。如果按照我们普通的挖掘思路，此处可能存在的漏洞是不是有SQL、XSS、越权查看他人提交信息、CSRF等等，其实此处可以利用一种新的思路，我称之为不受限制的资源调用。

0x02.漏洞测试

此处我们先输入自己的真实姓名+身份证号，然后把身份证号的最后一位7，改成5，进行提交，此时可以发现，提示我们需要输入正确的身份证号码，同时Burp没有任何数据包请求，判断此处是前端做了校验，校验用户输入的身份证号是否能够与规则匹配。同时可在JS文件中找到相应规则，此处校验不通过会返回false阻止我们进行提交。

console有如下结果：

所以此时，我们需要把身份证号改成一个正确的身份证号，把姓名也改成正确的姓名，同时进行提交，此时可见，在我们的Burp中出现了我们想要的数据包，包含了我们的姓名、身份证号、联系电话等等。此时我们再将数据包中的6改成5，也就是把真实身份证号又改回去一个不存在的身份证号，然后抓取返回包，可见，此时后端又做了一个验证，告知我们：身份证验证错误。
错误图：

0x03.原理剖析

此时先不着急往下进行测试，我们先来了解一下身份证验证的原理：

这里我做了一张流程图，假如我此时是一名开发者，我需要给我的APP加上实名验证功能，那么我可以直接去向最上层的那个机构申请接口吗？不能，因为我不是企业，而且我也不是属于它直系应用的开发者。我只能向他的下级，也就是腾讯、阿里、百度这样的企业去申请API接口，同时这些公司会把我们提交的数据，提交给最上层的那个机构，并且根据返回的数据，给我们返回的数据。也就是身份证号验证成功，或者二要素验证不一致。

我们再来说一下直系应用与企业的区别，直系应用去申请二要素验证，一般是不用花钱的。而我们作为个人开发者，或者企业，去调用那个接口，其实是要钱的。我们在网上随便找一些关键字，可以看到，价格其实还是蛮高的。

0x04.深入理解

那么此时是不是可以利用楼上所示的接口？去做一些事情呢，我这里假设要对别人进行社工，那么他的姓名是XXX，身份证号的后四位或者后六位我不知道，就可以对他进行一个爆破。此时我们勾选上最后四位，然后把数值调整到0000-9999之间，此时根据返回包的长度大小、可判断身份证号码是否正确。

此处可见，我们利用某平台开放的实名认证接口，可以完成我们自己想做的身份证二要素验证，同时由于厂商没有做限制，便可以无限消耗此厂商的资源，从而达到我们的目的。像本文中的二要素验证，以及短信验证，还有活人检测，其实都是基于Money的，在我们的SRC挖掘过程中，也可以去尝试一下这些点。

0x05 参考链接

https://xz.aliyun.com/news/10139

真心感觉自己要学习的知识好多，也有好多大神卧虎藏龙、开源分享。作为初学者，我们可能有差距，不论你之前是什么方向，是什么工作，是什么学历，是大学大专中专，亦或是高中初中，只要你喜欢安全，喜欢渗透，就朝着这个目标去努力吧！有差距不可怕，我们需要的是去缩小差距，去战斗，况且这个学习的历程真的很美，安全真的有意思。但切勿去做坏事，我们需要的是白帽子，是维护我们的网络，安全路上共勉。

题外话

黑客/网络安全学习路线

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

下面给大家分享一份2025最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！

一、2025最新网络安全学习路线

一个明确的学习路线可以帮助新人了解从哪里开始，按照什么顺序学习，以及需要掌握哪些知识点。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

读者福利 | 优快云大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

我们把学习路线分成L1到L4四个阶段，一步步带你从入门到进阶，从理论到实战。



L1级别:网络安全的基础入门

L1阶段：我们会去了解计算机网络的基础知识，以及网络安全在行业的应用和分析；学习理解安全基础的核心原理，关键技术，以及PHP编程基础；通过证书考试，可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。



L2级别：网络安全的技术进阶

L2阶段我们会去学习渗透测试：包括情报收集、弱口令与口令爆破以及各大类型漏洞，还有漏洞挖掘和安全检查项目，可参加CISP-PTE证书考试。



L3级别：网络安全的高阶提升

L3阶段：我们会去学习反序列漏洞、RCE漏洞，也会学习到内网渗透实战、靶场实战和技术提取技术，系统学习Python编程和实战。参加CISP-PTE考试。



L4级别：网络安全的项目实战

L4阶段：我们会更加深入进行实战训练，包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题



整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握；而L3 L4更多的是通过项目实战来掌握核心技术，针对以上网安的学习路线我们也整理了对应的学习视频教程，和配套的学习资料。

二、技术文档和经典PDF书籍

书籍和学习文档资料是学习网络安全过程中必不可少的，我自己整理技术文档，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，（书籍含电子版PDF）



三、网络安全视频教程

对于很多自学或者没有基础的同学来说，书籍这些纯文字类的学习教材会觉得比较晦涩难以理解，因此，我们提供了丰富的网安视频教程，以动态、形象的方式展示技术概念，帮助你更快、更轻松地掌握核心知识。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。



四、网络安全护网行动/CTF比赛

学以致用 ，当你的理论知识积累到一定程度，就需要通过项目实战，在实际操作中检验和巩固你所学到的知识，同时为你找工作和职业发展打下坚实的基础。



五、网络安全工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。


面试不仅是技术的较量，更需要充分的准备。

在你已经掌握了技术之后，就需要开始准备面试，我们将提供精心整理的网安面试题库，涵盖当前面试中可能遇到的各种技术问题，让你在面试中游刃有余。

如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…





**读者福利 |** 优快云大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）