文章总结： 本文分享了通过挖掘业务逻辑漏洞获利的实战经验。案例涵盖绕过地域限制准入、支付接口敏感信息泄露及越权删除地址。核心在于不轻视业务提示，深挖关键参数校验缺失。建议提交漏洞时构建最小闭环证据链，明确前置条件与危害，提升审核通过率。 综合评分： 90 文章分类： 实战经验,渗透测试,WEB安全,SRC活动

【项目实战】如何用一个漏洞赚两笔钱

隐雾安全

2026年3月6日 09:02 四川

📝 编者语

很多时候，业务不是“劝退提示”，而是“测试清单”。看到一个功能、一次限制、一个流程，就别急着退场——先问自己：它为了实现这个业务，后台一定多了哪些接口、参数和权限判断？这些地方能不能被我验证一遍？ 这篇就是从“没法用”开始，顺着业务一路把该测的测出来，最后怒赚5000。

1

别一上来就被“劝退”

案例一：修改定位导致越权漏洞（500）

我打开小程序就被一句话拦在门外：

“浙江省不在服务范围内，请稍后再试！”

哦吼测不了，关机下播，要是这么想你就会痛失500大洋，

这种提示在你眼里不应该是劝退文案，而是一个可验证的业务校验点。你应该立刻判断两件事：

• 它依赖什么：IP？定位？还是两者混用？
• 它是“入口提示”还是“后端真限制”（接口层有没有一致校验）

绕过他是不是就算一个漏洞？

说干就干用代理切换网络出口。

果然成功突破了区域限制

这为什么这能写成漏洞？而不只是“我换了个网”？

因为它带来的价值是：把攻击面从 0 变成 1。 原本进不去的系统，被我“注册进来了”，后续才能跑完整业务链路、抓到关键包——是后面两个洞的前置条件。

怎么说服审核： 这不是“地理策略讨论”，而是“准入控制被绕过”，导致未授权用户可完成注册并访问系统功能面。

既然挖洞，你就要知道这为什么是个洞。

2

沿着“最值钱的业务流”，找关键参数

既然是商城，进系统后不需要乱翻，优先盯两条链路：

• 购买/订单/支付台（最容易带出账户类标识与敏感字段）
• 个人资料类增删改（收货地址、联系人、发票抬头，最容易出越权）

这次两个长ID相关问题，都是这么来的。

案例二：敏感信息泄露（3000）

点击购买商品跳到支付台后会抓到数据包，其中有字段 loanAccount。

测试遇到这种字段需要有一种直觉：

如果后端用它当“唯一索引”去查用户资料，但没有把它和当前登录态绑定校验，那它就可能变成“传啥回啥”的数据接口。

我的验证思路

（重点：证明机制缺陷，不追求全站跑量）

loanAccount 是 10 位空间遍历起来时间过长，这里我们可以偷偷懒不需要、也不可能“全遍历”来证明问题。 我们可以固定大部分位数，只动少数位做小窗口验证，再配合“两账号对照”形成闭环。

• 自己准备两个账号（A/B）
• 在一个很小的范围里做变动（固定部分位数）
• 一旦命中返回了姓名/身份证/手机号/银行卡号等字段，就能证明： 接口授权模型有问题（ID 可枚举 + 敏感信息可越权获取）

我们测试既要证明漏洞也要尽可能减轻自己的工作量： 不靠“跑了多少数据”吓人，而靠“返回字段的敏感度 + 机制性缺陷”让风险自解释。

案例三：越权删除（1500）

经验丰富的测试者，通常会根据一个漏洞看它能不能衍生出其他漏洞，和信息泄露伴生的就是越权漏洞：

并且根据刚才的测试我们已经证明了越权是存在的，现在需要做的就是证明越权的危害，因为之前的漏洞点我们提交的漏洞是信息泄露，那接下来我们就需要寻找新的功能点来证明越权的危害。

找到收货地址的功能点，测试的方式非常朴素：增删改查必测，尤其是 DELETE。

1. 账号A抓到删除自己地址的 DELETE 请求

2.账号B正常进入地址管理拿到自己的地址ID

3。回到账号A，把 URL/路径里的地址ID替换成账号B的

结果：删除成功

这里需要强调一个误区：

这个漏洞的成立，不依赖“遍历长ID”。 只要证明“拿到一次ID后可以越权删改”，就说明服务端缺少资源归属校验。

顺带一提，“GET型传参，路径不可忽视”很关键：很多系统把权限校验写在 body 上，却忘了路径参数也是输入。

3

如何提高自己的漏洞通过率

我的经验是：

我不要对抗审核，而是帮审核省时间

每个洞都交付一个“最小闭环证据链”，让审核不用脑补。

• 前置条件：账号A/账号B分别是谁
• 关键点：哪个参数是资源标识
• 对照操作：只改一个点（替换ID/小范围变动）
• 结果证据：返回了谁的数据/删掉了谁的资源
• 一句话结论：未做登录态绑定/资源归属校验/准入一致性校验
• 影响：敏感信息泄露 / 他人数据被破坏 / 攻击面扩大

这样写，审核“信不信”往往不是立场问题，而是证据链是否闭环的问题。

🎁 文末福利

联系客服获取《SRC高质量报告模版》

!

微信号丨Hiddenfog001

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 《【项目实战】如何用一个漏洞赚两笔钱》