文章总结： 本文面向SRC新手介绍入门级漏洞挖掘案例，涵盖信息泄露与未授权访问两类常见中低危漏洞。信息泄露部分通过4个案例展示如何通过JS接口、API端点或数据包抓取获取内部人员姓名、邮箱、手机号等敏感信息；未授权访问部分通过4个案例演示接口遍历、参数构造及直接URL访问导致的未授权操作与数据获取。文章强调保持心态、从简单漏洞积累经验，并给出感觉有危害就提交的建议。 综合评分： 62 文章分类： SRC活动,信息泄露,漏洞分析,Web安全,安全培训

入门SRC简单漏洞案例

小*咔 小*咔

陌笙不太懂安全

2026年2月8日 17:20 河北

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号陌笙不太懂安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

作者:小*咔原文链接:https://xz.aliyun.com/news/14381

前言

许多新手师傅在尝试挖掘SRC漏洞时，常常找不到合适的切入点。刚开始接触SRC时，我们可以从一些中低危漏洞入手，通过逐步积累经验和自信心，逐渐挑战高危漏洞。在挖掘SRC的过程中，保持良好的心态非常重要，不要急于求成。如果暂时没有找到漏洞，就当作是熟悉大厂的业务逻辑。接下来，为想要入门SRC的师傅们介绍一些简单的案例，帮助大家快速找到自己的第一个漏洞。

信息泄露

关于信息泄露，主要是选择几个接口信息泄露的案例，非常简单也非常容易出洞。

案例一

我们登录到一个平台内，获取到js接口，js接口泄露了公司人员内部的一些信息，数据包下面还泄露了其他内容，这里就不贴出来了。

案例二

这里也是登录一个平台后，通过js文件获取了api接口，该接口泄露了公司内部工作人员的姓名和邮箱信息

案例三

这个案例也是通过登录后，抓取数据包，即可看到其他用户的手机号信息，造成信息泄露，非常简单

案例四

该案例也是通过寻找到/xxx/logic1、/xxx/loadUser两个接口，泄露了用户的手机号信息

上面介绍的这几个信息泄露的漏洞都是非常简单的漏洞，就是查找一些接口，案例三都不需要找接口，访问网站查看数据包就可以看到，新手师傅们在挖掘src的时候可以多关注下接口的信息。

未授权访问

未授权也是挖掘src经常遇到的漏洞

案例一

这个未授权案例我也没想到有什么危害，感觉没有什么用处，但是厂商也给了个低危，神奇！

然后通过js文件获取到一个接口，返回包显示项目名称不能为空

但根据接口名称create猜测这个接口应该是创建项目的接口，然后构造一个name参数发现可以创建成功.

在通过其他接口，可以看到我们刚创建成功的项

案例二

访问该网站的登录界面，没有账号，也没有注册功能，无法登录进去，然后通过接口未授权下载合同文件

通过接口/xxx/service.doc、/xxx/player.docx、/xxx/manager.docx可未授权下载文件

案例三

这是一个高危案例，通过不同接口获取到了手机号、邮箱、姓名和身份证号信息，数量较大，但是该案例也非常简单 /xxx/api/user/cert/certs，该接口泄露了邮箱、真实姓名和身份证号信息

/xxx/api/enterprise/certs该接口泄露了邮箱、真实姓名、手机号信息

案例四

该案例都不需要打开burp，鼠标点URL就造成了未授权访问 访问该URL，这是个测试环境，不需要登录直接跳转到后台，厂商给了中危

这篇主要介绍一些不需要什么技术，刚入门的师傅们都可以捡到的中低危漏洞。

总结:

感觉有危害就提,反正不过也不扣钱。

后台回复加群加入交流群

有思路工具需要的师傅可以加入小圈子

主要内容是（2025-2026/edusrc实战报告/edu资产/漏洞挖掘工具/src学习资料等）

其他内容懂得都懂，可以扫码查看详情，内容持续更新中。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 小咔 小咔《入门SRC简单漏洞案例》