突破限制：SRC资源调用的另类思路分享

前言

在SRC挖掘中，众多专家分享了实用技巧。今天，我将探讨一种独特的思路：无限资源调用。

进入正题

在学习和生活中，我们经常遇到类似页面：

以某云服务厂商的购买页面为例，要求填写姓名、身份证、联系电话等信息。通常，我们会寻找诸如SQL注入、XSS、越权访问、CSRF等漏洞。然而，我们可以尝试一种全新的思路，即不受限制的资源调用。

漏洞测试

我们首先输入真实姓名和身份证号，然后将身份证号最后一位从7改为5进行提交。发现系统提示需输入正确的身份证号码，并且Burp未捕获任何数据包请求。这表明前端执行了校验，验证用户输入的身份证号是否符合规则。我们在JS文件中找到了相应规则，校验不通过会返回false阻止提交。

console显示如下结果：

因此，我们需要将身份证号和姓名都改为正确的信息再次提交。此时Burp捕获到我们想要的数据包，包含姓名、身份证号、联系电话等信息。再将身份证号中的数字6改为5进行提交，系统返回身份证验证错误的消息。

错误示例：

原理剖析

在继续测试之前，我们先了解身份证验证的原理。

上图展示了验证流程。如果我们想要为APP添加实名验证功能，不能直接向最高级机构申请接口，因为我们既不是企业也不是直接应用的开发者。我们只能向下级企业（如腾讯、阿里、百度）申请API接口，它们会将我们的数据提交给最高级机构，并根据返回数据给予反馈，例如身份证号验证成功或二要素不一致。

直接应用与企业之间存在差异。直接应用申请二要素验证通常免费，而作为个人开发者或企业调用接口需要付费。在线搜索相关关键词后可发现，这些接口的价格相当高。

深入理解

我们是否可以利用上述接口进行一些操作呢？比如，对某人进行社工，如姓名为XXX，身份证号后四位或后六位未知，我们可以尝试爆破。选择后四位，将数值范围设定为0000-9999，根据返回包的长度判断身份证号是否正确。

通过利用某平台开放的实名认证接口，我们可以完成身份证二要素验证，同时，由于厂商未设置限制，我们可以不受限制地使用其资源，实现我们的目的。在SRC挖掘过程中，我们可以尝试这些基于资金的验证方式，如二要素验证、短信验证和活人检测。