给我一碗炒饭|保安日记之职教云的成长
本文仅用于学习交流 , 勿用于违法用途
今天换个风格写 , 我是一名保安 , 维护网络治安
文章图片
5.24晴
看着各大网课群里 , 职教云的业务做的风生水起 , 我就在想如果我也加入他们 , 那能赚多少钱呢 , 毕竟是钱 , 谁能不爱呢 , 但是因为这个漏洞过于简单 , 各种人都能学会 , 所以我经常能在群里看到哪个大哥把自己分数改到上亿 , 哪个大哥把课删了 , 又有哪个大哥把老师开除了
神仙打架 , 我只能在背后看着 , 这个漏洞没记错的话已经持续了两个月之久 , 我也和官方提交过这个漏洞 , 但是当时被打回来 , 迷惑行为
文章图片
官方的不重视 , 造成了这次漏洞的泛滥
5.25晴
早上各大网课代理还在疯狂接单 , 肆无忌惮的修改着数据 , 谁能想到当天下午官方终于出手修复 , 于是乎 , 群里面就炸了 , 谁知道那天代理们“损失”了多少钱呢 , 但同时 , 开发者也开始寻找新的方法(真是一群热爱学习的人呀)
文章图片
5.26晴
本来就是一个小漏洞 , 所以修复也是极其简单的 , 权限安排上就OK了 , 新版本更新后我抓包测试了一下 , 官方采用的鉴权方式是加入了一个newToken参数 , 虽然修复了很多问题 , 但事实证明了一条定理 , bug是会自我繁殖的 , 修复了新的漏洞 , 随之而来的还有更多的新漏洞 , 研究几分钟后 , 新的方法浮出水面 , 来简单说一下我的思路吧
官方增加了newToken参数 , 没有这个参数就什么也做不了 , 而这个参数只能从登录接口获取 , 账号密码登录接口堵死了 , 那不是还有一个微信登录嘛
【给我一碗炒饭|保安日记之职教云的成长】果断抓包【绑定微信】【微信登录】的接口 , 事实证明我的直觉还是很对的 , 绑定微信的API依然没有权限认证 , 只需要用户的ID即可随意改绑微信号 , 然后直接使用微信登录的接口 , newToken手到擒来 , 之后的操作就和之前一样了
文章图片
5.27阴
我在想要不要提交了这个漏洞 , 毕竟如果泛滥之后又是一场神仙大战 , 但我的速度还是慢了 , 网上大佬还是很多的 , 当天出产的软件基本都是这个漏洞 , 小范围的泛滥又开始了 , 代理们又开始叫卖 , 害这咱也没办法呀
文章图片
5.28晴
还记得前面说的“BUG是会自我繁殖的” , 今天更多的越权漏洞被发现了 , 职教云怎么感觉和个金矿一样 , 一直挖一直有 , 我觉得他们官方的程序员也快崩溃吧 , “就不能让我平平淡淡上个班吗??”
文章图片
5.29晴
本以为今天又是平平淡淡的一天 , 本来想继续在群里看大佬们聊天吹水 , 但意外的发现微信改绑的漏洞也被修复了 , 这次官方的速度还行 , 没有造成太大的损失
5.30雷
好多人发现我的公众号没有什么东西可以白嫖了 , 于是纷纷取关 , 一天掉粉好几百 , 传说中的白嫖党的威力太大了 , 今天炒饭伤心流泪 , 所以也没有必要接着挖掘了 , 这就是一场网络黑客与官方程序员的对弈 , 你找到一个漏洞 , 官方过不了多久就会修复 , 这告诉我们一个什么道理 , “要在逆境中成长”
- 青城科技|给我们出了什么难题?,马云和数学家
- 钱学森▲50年前美国登月要感谢钱学森?NASA:钱学森给我们带了一个人
- 「蝗虫灾害」2020,一个“道劫降临”时代,带给我们什么样的启示?
- 侃见财经|49岁拥有2000亿,他说金钱给我的幸福感不到5%,32岁成为中国首富
- 小胖聊科技|X50 Pro防抖实力一流?我不信,除非你抖给我看,vivo
- 长垣亲子连盟|却败给我国!贝佐斯携带6万亿资产,和中国市场说再见,赢了全球
- 三节课|微信终于给我重新做人的机会了
- 【华为】一台平板+一部手机,华为新装备给我的数字生活带来怎样的体验?
- 『』三千年前,玛雅人给我们留下了一张“二维码图”?游客扫码后结果让人没想到
- 尼安德特人@尼安德特人的复仇:和现代人先祖一夜春风,给我们留下了一个可能灭族隐患