0x00：免责声明

本文所涉网络安全技术仅供学习交流，切勿用于非法目的。因不当使用导致的一切后果，本公众号及作者概不负责。

0x01：漏洞1：绕过速率限制

开局肯定测测短信轰炸，混个活动。???，请求也设置频率。

话不多说，开绕。打过CTF的都知道，这种拦截有很多中情况，一般最常见的是根据IP来的。刚开始测试使用XFF，发现还是不行。

无聊一个一个删除每一个字段。直到删除了cookie，才绕过限制。具体做法：清楚所有cookie信息，并且增加x-forward-for字段。

不断的改变，xff字段的的内容，也就不存在请求速率的限制的问题。最后也是混上了活动赏金200元子，爽吃四顿kfc。

0x02: 漏洞2 绕过token限制

开局依旧登录框，继续绕过。

想看看，有没有短信轰炸的，先看看有没有加密，有的话，尝试绕一下。没有就随便测测，金融嘛，解密完了，就相对言好测许多。

不是验签就是token，头疼。token?这里还全是小写？ 既然有小写，那么我大写会怎么样？

直接开干，测试一波。

0x03: 总结

首先，挖金融众测，还是src，都要不要怂。干就完事了，其次，如果金融的限制很多，不妨多绕绕这个限制，很多时候，这种都是收的，而且搭配上翻倍的奖励，和其他src中危是差不多的。何况这种限制类的都是很多的，大部分情况很好挖。