首先说我的构思:
一本小说,有很多集,每一集请求下载都会生成一个k的json,例如:
有了这个k我们就可以定位到这一集具体的位置,这本小说是固定的id,每一集的K找到了,剩下的不就简单了。
再通过抓包方式,获取下载的请求:
总结:
这是我的第一个成功Hacker案例,通过系统架构缺陷,跳过vip验证,成功下载vip资源。再回顾下之前的案例,回想起当时做了多少的无用功浪费了多少的时间,真的是蛋疼....
怎么才能解决这样的安全漏洞呢?
1/系统强制屏蔽某些特殊符
2/将一些常用敏感词汇进行转码
3/选择优秀框架
4/对重要会话进行唯一标示规范
5/根据重要业务避免使用GET方式提交请求
老套通俗的话了,自己去理解吧。