进入小程序，因为是一个小商城，所以照例先查看收货地址是否存在越权，以及能否未授权访问，但是发现不存在这些问题，所以去查看优惠卷

进入领券中心，点击领取优惠券时抓包

发现数据包，存在敏感参数id

本来是测的能不能并发，直接领取多次，但是发现不可以，所以转变思路，遍历id，查看能否领取所有优惠卷

果不其然，除了已经所有人无法领取的优惠卷外，其他所有优惠卷都可以领取，包括但不限于生日专享，社群专享，还有会员专享

这应该算是个中危了。

 申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。

免费领取安全学习资料包！

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等

 

应急响应笔记

学习路线