文章总结： 本文通过两个SRC实战案例，展示了简单漏洞如何带来高危回报。案例一为盲盒薅羊毛，攻击者利用业务逻辑缺少原子校验的漏洞，通过并发请求获得了多张优惠券；案例二是六位数验证码爆破，攻击者通过抓包并在Burp中爆破，成功重置任意用户密码。文章强调，挖洞时不应忽视活动页面、抽奖功能等看似简单的地方，并总结了常见的测试思路。 综合评分： 85 文章分类： SRC活动,WEB安全,渗透测试,实战经验,安全意识

---

【SRC实战】简单漏洞带来的高危回报

原创

隐雾安全 隐雾安全

隐雾安全

2026年3月17日 09:01 四川

📝 编者语

看了课程以后最近在做一些业务逻辑漏洞的练习，顺手记录了两个比较有意思的小发现。

这两个洞都没有什么难度，甚至一些SRC都不收，但因为是内部项目所以给了我500块：

这篇文章就当做一次简单的阶段性记录，分享一下我在挖洞过程中的一些思考过程，顺带总结的一下自己的业务测试思路。

希望能给刚入门的朋友一点参考。

1

案例一：盲盒薅羊毛（高危1000）

活动入口

测试过程中，进入系统首页时弹出一个活动窗口：

“开启盲盒，赢取优惠券”

看到这种活动页面，挖洞的时候第一反应通常不是：

“哇，有优惠券！”

而是：

“这玩意儿是不是能多领几次？”

于是点击 开启盲盒，并顺手抓个包看看。

抓包观察

点击抽盲盒时，请求大概类似这样：

GET /v1/******/result/94

返回结果就是盲盒抽取结果。

看起来逻辑很简单：

1. 用户点击抽盲盒
2. 服务端返回抽奖结果
3. 用户获得优惠券

但是这里有一个经典问题：

有没有做并发限制？

一个简单的想法

很多优惠券系统的漏洞，本质都一样：

用户只能领取一次，但系统没有控制并发。

于是我做了一个很朴素的操作：

把请求丢进 Burp 里并发。

线程数稍微调高一点。

并发测试

并发请求发出去以后，结果很快就出现了。

正常情况下：

抽盲盒 → 获得一张优惠券

并发情况下：

抽盲盒 → 获得多张优惠券

测试结果：

最终一次并发操作直接拿到了 5 张优惠券。

当然，为了避免对业务造成影响，我只设置了 30 个线程 做简单验证，没有继续扩大。

为什么会出现这个问题

这种漏洞其实非常常见，本质原因只有一个：

业务逻辑缺少原子校验。

系统流程可能是：

判断是否已抽盲盒 ↓ 允许抽取 ↓ 发放优惠券 ↓ 记录已领取

如果在 记录之前 发起多个请求，就可能全部通过校验。

盲盒测试思路

这个案例给我的启示是：

盲盒本质上就是另一种优惠券系统。

所以很多优惠券漏洞思路，其实都可以直接套过来：

常见测试点：

• 并发抽取
• 重放请求
• 参数遍历
• 透明盲盒
• 双端校验问题
• ID 遍历（例如 /result/94 这类接口）

很多时候，一个普通的活动页面，背后就是一个逻辑漏洞矿场。

2

案例二：六位数验证码爆破（高危1000）

接下来这个案例，其实更有意思一点。

因为它属于一个很多人看到就会直接跳过的漏洞。

一个常见的页面

测试过程中看到一个功能：

手机号验证码重置密码

流程非常标准：

1. 输入手机号
2. 获取短信验证码
3. 输入验证码
4. 重置密码

验证码是 6 位数字。

很多人会直接放弃

很多 SRC 里有一个普遍认知：

六位数验证码爆破基本不收。

所以不少人看到这里就会直接跳过。

但我当时的想法是：

“反正抓包都抓了，不如试一下。”

抓包分析

获取验证码后，输入任意验证码并抓包。

请求类似：

请求体中包含：

phone=xxxx code=xxxxxx

很明显：

验证码在参数中明文提交。

于是可以做一个非常经典的操作：

把验证码设为变量。

爆破尝试

接下来就简单了。

在 Burp 里设置：

code = 000000 – 999999

线程数：

10 个线程

然后开始爆破。

结果

很快就出现了两种返回结果：

失败返回：

验证码错误

成功返回：

验证成功

爆破成功后，得到的验证码与手机端收到的验证码完全一致。

换句话说：

只要知道手机号，就可以重置任意用户密码。

3

思考总结

挖洞时的一个误区

这两个漏洞能赚到赏金让我意识到：

在做很多测试的时候都会有一种刻板印象：

• 六位验证码 → 不测
• 简单逻辑 → 不测
• 小活动页面 → 不测

但很多漏洞恰恰就藏在这些地方。

有时候挖洞不是比技术就是比细节。

挖洞是一个思路训练

很多时候漏洞不是难不难的问题，而是：

你有没有想到这个方向。

多做一些这种简单漏洞，其实对培养业务测试思维很有帮助。

最后

这两个小案例算是最近阶段的一点小产出。

都不是什么大洞，但每挖一个洞，其实都是一次思路的积累。

如果你也在挖 SRC，建议多关注这些地方：

• 活动页面
• 抽奖功能
• 优惠券系统
• 验证码逻辑

这些地方往往看起来很普通，但漏洞率很高。

🎁 文末福利

联系客服获取《常见漏洞点汇总》

!

微信号丨Hiddenfog001

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 隐雾安全 隐雾安全《【SRC实战】简单漏洞带来的高危回报》