文章总结： 文章通过虚构故事揭示某小程序实名认证接口存在严重漏洞：接口缺乏防重放机制，允许无限次提交姓名与身份证组合进行验证，可能被黑产利用造成企业经济损失。作者在测试环境中验证漏洞后及时上报，强调技术需合法使用并提醒企业加强接口安全防护。 综合评分： 72 文章分类： 漏洞分析,WEB安全,安全意识,安全开发,渗透测试

帮朋友查女神是不是真人，结果捅了实名认证的篓子

原创

xjizhi xjizhi

GG安全

2026年4月20日 09:59 天津

在小说阅读器读本章

去阅读

—— 一个脚本小子的自我修养

1. 开头：神秘任务

“歪，在吗？帮我个忙。”好兄弟大半夜发消息，我就知道没好事。

“我最近在XXX小程序上认识个姑娘，聊得挺好，但她不肯发语音，也不视频……你懂的，怕遇到‘乔碧萝’。”屏幕那头传来猥琐的笑，“你不是会点技术吗？帮我看看她实名认证没？”

我：“？？？你以为我是民政局查户口的？”（保护隐私，上马▼）

2. 线索1：小程序的“防君子不防小人”

既然是兄弟的终生幸福（呸），我勉强点开小程序。流程很简单：注册→登录→点【实名认证】。

关键突破口出现了！ 抓包一看，实名认证的请求长这样：

| | | — | | POST /xxx/authenticate HTTP/2   Host: 1.1.1.1 { “name”:”随便写”, “id_card”:”110101199003077XXX” } |

我试着把身份证号改成《武林歪砖》邢捕头的——“邢X森，110101197604088888”（错误示范），结果系统秒回：“姓名与证件号不匹配”。

3. 骚操作：无限试错的“财富密码”

重点来了：这个接口居然没有防重放！ 理论上，我可以把全国14亿人的身份证轮流试一遍，直到匹配成功……（当然我不敢）

于是我开始“科学测谎”：

第一步：用朋友提供的女神姓名+编造的假身份证→返回“不匹配”（果然不是瞎填的）

第二步：换了个网上找的真实姓名+身份证组合→返回“认证成功”！

系统此时：

4. 终极反转：朋友，你还要找女神吗？

当我发现能无限“刷卡”时，突然意识到问题的严重性——这漏洞简直是灰黑产的“自助餐”啊！ 随便写脚本轰炸，企业查一次实名认证起码花几毛钱，分分钟能让老板心脏骤停……

于是我对朋友说：“别管什么女神了，你公司的竞品要是知道这漏洞，明天就能让他们破产。”（手动狗头）

5. 结尾：从狗血剧到社会责任

朋友： “所以……她到底实名没？”

我： “早帮你测了，是真人了！但赶紧劝那小程序修漏洞吧……”

（最终我收获了朋友的奶茶答谢，以及——他又让我查另一个女生的学历信息，我反手就是一句：“滚，自己去学信网！”）

声明：测试已获授权（朋友的小号），漏洞第一时间上报。技术是把双刃剑，切勿用于违法灰产！

本文所有故事情节均为虚构，漏洞测试均为测试环境。

1►

福利放送

再次声明：本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失，GG安全公众号和原文章作者不承担任何责任。

edusrc邀请码 | 无问AI 积分兑换码

    免费不限量提供edusrc邀请码及玄机邀请码，可在的菜单栏资源获取-edusrc邀请码 | 无问AI 积分兑换码中获取。

无问AI 积分兑换

2►

往期精彩

![](https://mmbiz.qpic.cn/mmbiz_gif/AFgdiaw95AaNY572lpficoa3l1cVE17VfZ4WDWhcMYWJbibW3UvQP4H2Izrsic6ZSlqnw3DtMzjzJHvuhGJ2V6CF2A/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&retryload=1&randomid=tfibc7o0&tp=wxpic#imgIndex=24)

edusrc高校证书测评

绝版乌云重现：在VM中复活的安全宝藏！

钓鱼佬永不空军！！看我如何社g搞定学姐继而接管站点全部权限

捡洞！有手就行的信息泄露

没手都行，小程序纯自动化捡洞工具

护网在即，自动化"一键"钓鱼工具

Wifi Pineapple（大菠萝）无线攻击

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GG安全 xjizhi xjizhi《帮朋友查女神是不是真人，结果捅了实名认证的篓子》