金融科技漏洞赏金实战系列（第一篇）

摘要

《3 小时成为百万富翁 | 金融科技漏洞赏金 — 第一篇》

《GraphQL 漏洞利用技术 | 金融科技漏洞赏金 — 第二篇》

《Google Play 应用中间人攻击实战 | 金融科技漏洞赏金 — 第三篇》

（内容隐藏）| 金融科技漏洞赏金 — 第四篇 | 2023 年 3 月发布

（内容隐藏）| 金融科技漏洞赏金 — 第五篇 | 2023 年 4 月发布

漏洞发现始末

最近我对某银行系统进行了渗透测试。虽然并非受雇于他们，但出于对其基础设施的好奇，我主动提出帮助寻找安全漏洞并获得了许可。

目标背景

这家成立约一年的金融科技公司正在构建"社交网络+银行系统"的创新模式（类似 Coinbase 的新闻板块但更个性化）。他们通过视频教程和问卷奖励用户"特殊代币"，这些代币可兑换实物商品和服务。

漏洞利用过程

1. 视频进度欺骗

2. 发现播放视频时会向服务器发送观看百分比参数。将参数修改为 100%后，系统直接跳转至问卷环节。

3. 答案提前泄露

4. 抓包发现返回的问卷数据包含正确答案标记（😅），只需构造正确响应即可获得代币。

5. 自动化攻击

6. 暴力枚举教程 ID（1-10000），发现不存在的 ID（如 99999999）也能成功兑换代币。系统未设置请求速率限制，单次可并发 1000 次请求。

关键漏洞总结

• 视频验证缺陷：后端仅依赖客户端提交的观看进度

• 前端信任问题：问卷答案直接暴露在响应中

• 无限制访问：缺失请求频率控制和资源存在性验证

安全建议

1. 视频流验证：应由后端计算实际观看时长

2. 答案校验：前端仅提交选项，后端返回对错结果

3. 速率限制：必须实施请求频率控制

4. 资源验证：严格检查数据库存在性

最终我获得了约 100 万代币（已由厂商回收）。该案例揭示了金融科技平台在业务逻辑设计上的重大安全隐患。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手