1、领卷是否无限制,防止出现逻辑漏洞
2、1分钱拿走是有门槛,看可否绕过。出现越权薅羊毛。
测测是否存在接口信息泄露,然后再看看f12里面的js源码里面有没有特殊接口。
1、js看接口
2、并发
3、看看请求和响应包中有无特殊信息
1、如果存在短信接口(有无短信轰炸),一般为了推广,很少设置限制
2、如果采用微信授权登陆,重点看一下有无sessionkey泄露
3、用户身份的唯一标志看看是通过哪个参数控制的,是否会存在薅羊毛的存在
4、兑换处逻辑漏洞测试
您当前没有「奇安信攻防社区」的账号,注册后可获取更多的使用权限。
