通常情况下,问答类活动,answer值是不能够暴露出来,最近遇到有个app无意中把answer值正大光明的暴露出来。
① 使用抓包工具—charles抓取topic接口URL ② 分析topic接口参数-共有五条题目,分别提取answer和id字段 ③ 抓取record接口URL-传参提取的answer和id字段 ④ 成功完成全部答题
① answer值暴露对接口而言是很大漏洞; ② 应客户端通过传参给后端,后端处理完结果反馈给前端答案的正确是否; ③ 足够的耐心一点点尝试,总有一个成功的希望
