一个价值300美金的漏洞

正文

平常在做安全测试的时候，对于那些与用户有着交互的功能要重点测试，本文发现的这个漏洞就是一个与用户有交互的功能。

测试的这个项目是一个足球比赛游戏,测试的功能是一个组建团队的功能，具体来说就是为你的足球队伍选择一个队长。

在创建这个团队的时候，发现JSON主体里面每个队员都有这样的一个参数:

“captain: true”或者是“captain: false”

这里尝试将每个队员的这个参数都改成captain: true,发现起作用了，其实这是一个漏洞，因为一个队长标签可以使一名玩家的实力增加50%,但是现在整个团队的实力增加了50%

如果你是一个长期主义者，欢迎加入我的知识星球(优先查看这个链接，里面可能还有优惠券)，我们一起往前走，每日都会更新，精细化运营，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

2022年度精选文章

SSRF研究笔记

xss研究笔记

dom-xss精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips