引言

之前写了一篇文章【易班跳一跳分析】,每更新一次分数都会得到相应的积分,积分可以用来兑换网薪,但是有些限制,既然这么闲,那就玩玩看看吧。本文仅作思路分析,不分享具体操作

看一看吧

打开网页可以看到它的限制如下:

温馨提示:每次最多只能兑换1000积分; 每天最多只能兑换2次;兑换网薪比例为 积分:网薪=100:10
界面截图.png
界面截图.png

首先分析一下它的限制上写在本地还是写在服务器端,点击查看网页源代码或者打开控制台,往下翻就直接看到了积分限制

WhiteFan_网页源代码.png
WhiteFan_网页源代码.png

不得不说没有什么技术含量,直接修改最高限制就行。

var max = ****;

End

WhiteFan_2020-02-21_11-53-20.png
WhiteFan_2020-02-21_11-53-20.png

尝试HttpCanary 静态注入

​​‌‌​​​‌‌​‌​​‌‌‍​‌​‌‌‌​​‌‌‌‌​‌​‍​‌​​‌​​​‌​​​‌‌​‍​‌​‌‌​​​‌‌​​​​​‍​​‌​‌‌‌‌‌‌‌‌​​​‍​‌‌​​‌‌‌​‌‌​​‌‌‌‍​‌‌​​​‌‌‌​​​‌​‌‍​​‌‌‌‌‌‌‌‌​​‌‌‍​​‌‌​‌​​​​‌‌‌‌‌‍​‌‌‌​‌‌​​​‌‌‌​​‌‍​​​​‌‌​​​​‌​​​​‍​‌​‌‌​‌‌‌‌‌‌​​‌‍​‌​‌‌‌​‌​‌​‌‌‌​‍​​‌‌‌​​‌​​‌‌‌​‌‍​‌‌​​​‌‌‌‌‌​‌​‌‍​‌‌​‌​​‌‌​‌​‌‌‌‌‍​​​​​​​​‌‌‌‌​​‌‌‍​‌‌​‌​​‌​‌‌‌​​​​‍​​‌‌‌‌​‌‌‌‌​​​​‍​‌‌‌​​​​​​‌​​‌​​‍​‌‌‌​‌‌‌‌​‌‌​​‌‌‍​​​​‌‌​​​​‌​​​​‍​‌​‌‌​‌‌‌‌‌‌​​‌‍​‌​‌‌‌​‌​‌​‌‌‌​‍​​‌‌‌​​‌​​‌‌‌​‌‍​​‌‌‌‌‌‌‌‌​​‌​‍​​​​​​​​‌‌‌‌​​‌‌‍​​​‌​‌​‌‌​​‌‌‌​‍‌​​​‌​​​‍‌​​‌​‌‌‌‍‌​​‌​‌‌​‍‌​​​‌​‌‌‍‌​​‌‌​‌​‍‌​​‌‌​​‌‍‌​​‌‌‌‌​‍‌​​‌​​​‌‍​‌‌​​​‌​‌‌‌​​​‌‍‌‌​​‌‌​‌‍‌‌​​‌‌‌‌‍‌‌​​‌‌​‌‍‌‌​​‌‌‌‌‍‌‌​‌​​‌​‍‌‌​​‌‌‌‌‍‌‌​​‌‌​‌‍‌‌​‌​​‌​‍‌‌​​‌‌​‌‍‌‌​​‌‌‌​‍​‌​‌‌​‌‌‌‌​​‌​​‍​‌‌​​​​‌​‌​​​‌‌‍​​​​​​​​‌‌‌‌​​‌‌‍​‌​‌‌​​​‌‌​​​​​‍​​‌‌​‌​​‌‌‌‌​​​‍​‌​‌​​​‌‌​​‌‌‌‌‍​‌​‌​​​‌​‌‌‌‌‌‌‍​​​​​​​​‌‌‌​​‌​‌‍‌​​‌​‌‌‌‍‌​​​‌​‌‌‍‌​​​‌​‌‌‍‌​​​‌‌‌‌‍‌​​​‌‌​​‍‌‌​​​‌​‌‍‌​‌​​​‌‌‍‌​‌​​​‌‌‍‌​​​‌​​​‍‌​​​‌​​​‍‌​​​‌​​​‍‌‌​‌​​​‌‍‌​​‌‌‌​‌‍‌​​‌‌‌‌​‍‌​​‌​‌‌​‍‌​​‌‌​​‌‍‌​​‌‌‌‌​‍‌​​‌​​​‌‍‌‌​​​‌‌​‍‌‌​​‌​​​‍‌‌​‌​​​‌‍‌​​‌‌‌​​‍‌​​‌​​​‌‍‌​‌​​​‌‌‍‌​​‌‌‌‌​‍‌​​​‌‌​‌‍‌​​‌‌‌​​‍‌​​‌​‌‌‌‍‌​​‌​‌‌​‍‌​​​‌​​‌‍‌​​‌‌​‌​‍‌​​​‌‌​​‍‌​‌​​​‌‌‍‌‌​​‌‌‌​‍‌‌​​‌‌‌‌‍‌‌​​‌​‌‌‍‌​‌​​​‌‌

打开HC进行抓包,把修改的请求数据静态注入,同样可以解除限制。

写在最后

网页写的太简单,所有数据都是明文传输,毫无安全性。学校的开发人员不是很用心,或许我用不寻常的数据能让开发人员意识到什么也是挺好的。PS:网页已经进行升级。
限制兑换两次是在服务器端上验证的,相比这个会有点难度,但也不是完全不可行。
玩玩而已,这个成就感比兑换奖品舒服多了。只研究技术,不越线。