文章总结： 该文档分享了作者在某公寓SRC漏洞挖掘中的实战经验，通过模糊查询和水平越权两种方法分别获得1000元和1800元赏金。模糊查询涉及中文URL编码遍历公司内容，水平越权通过APP中的ID遍历实现。文档提供了具体的漏洞发现过程和简单技术思路。 综合评分： 65 文章分类： SRC活动,WEB安全,实战经验,漏洞分析

SRC实战 | 某公寓SRC漏洞挖掘记录

原创

安全艺术 安全艺术

安全艺术

2026年5月18日 12:49 北京

在小说阅读器读本章

去阅读

年初找房子，发现之前住过的xx公寓，想起来之前挖过他们家的src，简单分享下。

1、一个简单的模糊查询获得1000元赏金。

根据中文名称遍历，需要将中文进行url编码下进行模糊查询，如模糊查询公司内容：

2、开发票处存在水平越权，给了1800元。

退房后开完发票，去app里点了点，就出洞了，简单的id遍历。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全艺术 安全艺术 安全艺术《SRC实战 | 某公寓SRC漏洞挖掘记录》