文章总结： 该文档分享了一个企业SRC实战案例，通过抓包修改返回参数将false改为true，成功绕过人脸识别认证流程。攻击者可利用此漏洞伪造身份证信息批量注册账户，用于黑灰产活动如薅羊毛等，对平台造成长期安全威胁。案例已提交修复并进行了脱敏处理。 综合评分： 72 文章分类： 渗透测试,WEB安全,漏洞分析,安全运营,SRC活动

企业赏金SRC实战案例二

原创

信通云服 信通云服

信通云服

2026年4月16日 15:16 海南

在小说阅读器读本章

去阅读

以下分享在企业SRC一个简单的实战案例，内容进行打码，和图片内容替换，漏洞均已提交修复。

漏洞挖掘案例

先进入平台，后发现使用功能需要账号实名认证。

进行个人身份认证

这一步只需要生成一个身份证照片就行，名字和身份证号随意，符合格式就行。

进入扫描二维码人脸识别认证，抓包

抓包发现存在对应校验包，修改返回包对应参数，false为true绕过人脸认证。

修改返回包发现已经真人验证成功，可提交

然后提交认证，最后成功激活账户。绕过人脸识别。

最后实现绕过人脸识别认证，可伪造他人身份证进行批量注册账户，用于黑灰产，新用户奖励，薅羊毛等。对平台造成长期影响与安全隐患。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信通云服 信通云服 信通云服《企业赏金SRC实战案例二》