01
JS中发现未授权接口
来自hxd lalala师傅的案例--案例已修复
URL:https://job.****.***.cn/job/qrlogin
登陆成功以后
右上角个人信息
来到微信绑定的页面
通过审计该页面的js代码发现微信绑定和微信解绑的接口
绑定:job/wx/qrCodeUrl/getBindStu?xh=学号
解绑:job/weixin/wenxin/unbind?xh=学号
以上均为post请求,get无法请求
因为该接口只发送了学号
尝试一下换成其他学生的学号是否可以登陆
02
深入利用
随便找了个学号:********************
尝试绑定
发送请求以后他返回了微信绑定的接口
通过微信打开
发现已经被绑定了
用js发现的解绑接口尝试解绑
job/weixin/wenxin/unbind?xh=学号
解绑成功
再次绑定自己的微信
绑定成功
回到登陆页面
https://****************.cn/job/qrlogin
尝试扫码登陆
如果你是一个长期主义者,欢迎加入我的知识星球(优先查看这个链接,里面可能还有优惠券),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
往期回顾
福利视频
笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品
https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374
技术交流
技术交流请加笔者微信:richardo1o1 (暗号:growing)
文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247492419&idx=1&sn=c03e61596df2a7f94761765f8a3c9711&chksm=e8a5e920dfd2603601577efde545ae88782f9c80a4565e36a0d4c7b6b195e8f3a8b07c73281a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh