文章总结： 本文记录某公寓SRC漏洞挖掘实战案例，作者通过模糊查询接口（中文URL编码）发现信息泄露漏洞获1000元赏金，并在开发发票功能中通过ID遍历实现水平越权获1800元赏金。关键发现包括常见业务逻辑漏洞挖掘方法，可操作建议涉及对模糊查询接口和用户权限校验的安全加固。 综合评分： 65 文章分类： SRC活动,渗透测试,WEB安全,实战经验,漏洞分析

SRC实战 | 某公寓SRC漏洞挖掘记录

原创

安全艺术 安全艺术

安全艺术

2026年5月18日 12:49 北京

在小说阅读器读本章

去阅读

年初找房子，发现之前住过的xx公寓，想起来之前挖过他们家的src，简单分享下。

1、一个简单的模糊查询获得1000元赏金。

根据中文名称遍历，需要将中文进行url编码下进行模糊查询，如模糊查询公司内容：

2、开发票处存在水平越权，给了1800元。

退房后开完发票，去app里点了点，就出洞了，简单的id遍历。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全艺术 安全艺术 安全艺术《SRC实战 | 某公寓SRC漏洞挖掘记录》