SRC挖掘
业务支付逻辑安全案例
某度ID值爆破任意登录
社交应用越权泄露漏洞
某迅相册APP绕过XSS
某度利用上传触发XSS
泄露验证造成签约越权
小程序放包绕过人脸识别
业务逻辑绕过人脸识别
竞争并发拿下挑战赛
某B未绑定导致任意注册
时间校验机制领取VIP
某视频不安全对象引用
无回显SSRF修改利用
社交应用放包越权测回
理财支付漏洞四舍五入
某迅API分享导致重定向
吃货去改包提权超管
某云厂商社区SSRF挖掘
代金卷导致的支付错误
某鹅邮箱附件上传XSS
导出功能导致任意修改
某商城补领优惠券并发
限制购买多次创建绕过
小迪安全知识库
-
+
首页
业务逻辑绕过人脸识别
业务逻辑绕过人脸识别
1. 有时候我们去挖掘接口调用的时候,再卡包的这个位置,或许被别人交过了,那么哪里还会存在接口调用那。 注销功能:用户点击注销 —\> 验证用户身份(输入身份证,过人脸,输入密码等) —\> 验证成功 —\> 成功注销  看完图解,相信大家都明白了,接图  2\.看你要的接口出现了,他在这里,如果这里可以无限次被调用,同时根据返回包的不同,可以识别被人的身份证,那它就是一个不限制调用。虽然这里是验证的我们自己的身份证号。  到了人脸识别,这里我们先本人正确的验证一次,看返回包。然后再随便找个人验证替换它的返回包即可  自己本人验证:返回包 "data":{"verified":"true"} ,放包 随便找个人验证,拦截返回包  替换  放包 
xiaodi
2026年4月28日 22:21
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)