一次绕过付费的经历
2023-9-30 17:37:3 Author: mp.weixin.qq.com(查看原文) 阅读量:14 收藏

正文

在某简历平台制作了一份简历之后,点击下载,弹出了一个需要专业账户的信息(就是要你花钱冲会员啦)

仔细思考一下,“他们怎么区分谁是专业用户,谁不是?”还有,免费版简历上还会有他们的应用品牌。

使用bp拦截流量

当你点击下载按钮时,网站会向其他地方发送请求,并在消息中插入简历的ID

把这个ID换成了我精心制作的简历中的ID,没啥软用,但是发现该网站提供了一个与我的简历ID绑定的S3链接。我将链接弹出到浏览器中

发现白嫖了这个简历.

小结

其实一般白嫖的思路是抓住免费的接口,然后将接口的的id换成对应的付费的即可

如果你是一个长期主义者,欢迎加入我的知识星球(优先查看这个链接,里面可能还有优惠券),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

往期回顾

2022年度精选文章

SSRF研究笔记

xss研究笔记

dom-xss精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

福利视频

笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品

https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374

技术交流

技术交流请加笔者微信:richardo1o1 (暗号:growing)


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247492068&idx=1&sn=dabc0b8d4dd35bb0e57e007bffd53887&chksm=e8a5eb87dfd262910ef678c310f3c593eddef41b1d2260586ef130036fed11306a8ea47ffffc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh