進入小程序，因為是一個小商城，所以照例先查看收貨地址是否存在越權，以及能否未授權訪問，但是發現不存在這些問題，所以去查看優惠卷

進入領券中心，點擊領取優惠券時抓包

發現數據包，存在敏感參數id

本來是測的能不能并發，直接領取多次，但是發現不可以，所以轉變思路，遍歷id，查看能否領取所有優惠卷

果不其然，除了已經所有人無法領取的優惠卷外，其他所有優惠卷都可以領取，包括但不限于生日專享，社群專享，還有會員專享

應該算是中危

重點

這次是挖歪了，所以對于挖小程序的師傅，我稍微提醒一下，就是你挖的小程序的資產是否是你那個src不是看小程序的名字，包括小字的什么什么有限公司，你真正應該關注的是數據包里的Host參數

千萬別挖歪了，所以一定要做好信息搜集，什么小藍本，企查查。。。之類的