文章总结： 本文披露某程小程序存在越权漏洞。用户上传视频获取稿费时，接口中的videoid参数可被预测。攻击者通过抓包修改该ID并遍历，可冒名提交他人作品盗取稿费。该漏洞源于缺乏对资源归属权的严格校验，建议厂商完善权限控制机制。 综合评分： 68 文章分类： SRC活动,WEB安全,漏洞分析

【SRC实战】某程某小程序越权

原创

Lu.

隐雾安全

2026年1月10日 09:03 四川 标题已修改

隐雾安全

致力于为大家提供最实用的技能

某程某小程序越权

用户通过投稿广场的任务 去对应的地点 上传所拍的视频 去赚取稿费

而上传的时候会有一个id参数 这个就是我们的videoid 用户上传的视频id

这时候我们使用另一个用户去上传 投稿

这时候看上传的数据包 可以看到这个id是4736xxxx的规律 可以遍历

这个时候再拿我们刚刚的账户的提交数据包 去修改上传的id参数 可以看到成功越权成功

这样我们就可以拿别人的作品 来去提交

攻击者就可以利用遍历id的方式去盗窃作品 赚取稿费

网安交流群

微信号丨Hiddenfog001

往期内容

通用0day挖掘思路

某大厂勒索病毒处置流程外泄

今年大一，不小心黑进学校的迎新系统怎么办

英雄联盟租号平台getshell

记一次色情APP的渗透过程

课程推荐

隐雾SRC第八期全面升级

零基础就业班-三包模式

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 Lu.《【SRC实战】某程某小程序越权》