网页前端源代码是没有混淆加密的,会的人一小会就能查出逻辑和请求内容。
上面是请求主体内容。
发送请求与处理。
api地址就不放了,自己找一下不难的。
验证是用存在 local storage 的 token,有expired时间,但是没有csrf,想要做抢课器易如反掌,不需要任何ctf 能力与知识。
还有更暴力的方法,直接改页面发一次请求然后看网络就能找到标头和你想要的课的请求内容。
细细一查还有更离谱的,这里不讲了。
8004是没到时间
8008是没名额/你已经抢到了
具体抢课代码不放了,想要的私我我看心情给。