起因 今天正在做一个项目时,需要找一个云接码平台接码去登录系统.当我随手从百度找了一个接码平台时,一个偶然的发现,有了今天这篇文章. 正文 当我进入这个接码平台随便找了个手机号,然后等了好几分钟都没啥反应.然后就顺便观察起了这个网站,然后我就有了发现. 手机号由GET传参,同时会显示在页面上,那么这个pho_num参数应该是可控的,那么这个就可能存在XSS,现在让我们来进行一下测试,我们将传入的参数改为test,看看页面会不会变化. 我们猜测是正确的,那么接下来就是用来测试一下,看看能不能解析标…