zkaqlaoniao的博客

本文由掌控安全学院 - 守法好青年 投稿进入小程序，因为是一个小商城，所以照例先查看收货地址是否存在越权，以及能否未授权访问，但是发现不存在这些问题，所以去查看优惠卷进入领券中心，点击领取优惠券时抓包发现数据包，存在敏感参数id本来是测的能不能并发，直接领取多次，但是发现不可以，所以转变思路，遍历id，查看能否领取所有优惠卷果不其然，除了已经所有人无法领取的优惠卷外，其他所有优惠卷都可以领取，包括但不限于生日专享，社群专享，还有会员专享应该算是中危。

公众号：掌控安全EDU 分享更多技术文章，欢迎关注一起探讨学习。

小白在学习黑客的过程中一般会遇到这样一些问题：感觉自己工具、原理都会了但是遇到真实网站却不知道从何下手；想学习黑客技术，但是却不知道哪里有详细的教程可以学；想找一些书籍来看看，却不知道去哪里可以找到适合自己的书籍；遇到问题没人可以交流，不知道哪里可以交流等等...基于以上的各种可能会遇到的情景呢，

这些网站其实就可能存在前端展现的问题，后端逻辑的问题，数据存储的安全问题，如何找出这些网站的漏洞原理，如何去修复和完善这些网站的问题，就是这个方向要研究的。内容（比如改大学教务系统的考试成绩），留一下一个网站的webshell等等其实都属于网络渗透的内容，由于互联网与信息化的普及网站系统对外的业务较多，且由于程序员的水平层次不齐与运维人员的一些配置失误，网络渗透需要掌握的内容较多。你可能无法很快的及时的得到一个积极的有趣的反馈和奖励，所以说很有可能在你学编程的这个阶段，你就把自己给劝退了。