测试“热心网友” 的文章漏洞以及网络安全学习自己的经验杂谈

起因，整理之前手机的网安视频，不是乱就是少几课时，有些还看不下去，索性分期在腾讯课堂上购买了web安全工程师体系课程，正好也有老师答疑讲解（课程质量目前感觉一般，学完后再评价）

学习到了逻辑漏洞的内容，正好看到了粉色猪网站上的一篇文章

于是学完后就想试一试（主要是想窃取“热心网友”的成果 看看是否能不能交一个src的狗头保命），游戏名这位老哥也是可以打码的，只是我很好奇，使用了一系列方法（图片识别+文章中的蛛丝马迹），找到了。

开始抓包并对money参数的修改

（补充说明：439*游戏在chrome上现在没法正常打开了，不支持flash，自己用的老版的火狐配合burpsuite抓包）

 期间也检查了抓到的其他的包，没看懂。

游戏页面显示的充值2000元没有截图，放一下自己的账单

总结

他是想用小例子介绍一下web安全的支付漏洞（属于逻辑漏洞的一种），按照我上面的四次测试应该可以说明游戏支付是做了后台检验的。 

补充

逻辑漏洞中还有 url跳转漏洞、任意密码修改漏洞以及任意用户登录漏洞，基础知识点的学习相对实践而言是枯燥无味的，但是为了以后能成为安全工程师，还是应该静下心来学习基础知识。这些装13小技巧一天学一个就够了。

吐槽

如果是科班或者以后就想从事这个行业的，个人不推荐使用汉化版的软件；自己从2020年2月开始关注网络安全，一直到2021年7月底，学习的大部分是社工（个人水平应该能达到平均水平），以及一天一个装13技巧，web安全、渗透测试、CTF等专业知识几乎为零（不过有计算机科班的底子）。因为只会社工这一点，在升学考试期间中，自己提到对网络安全感兴趣，结果被老师诟病：网络安全几乎一无所知，现在看来，确实如此，（推荐一篇文章，老哥进阿里的经验分享https://mp.weixin.qq.com/s/UnBoH_eVJONFT5zaHX2VsQ）