前言

PIX PRO尘封了三年，刚发布有漏洞是正常，但是有一些离谱、已经被修复的漏洞，我忍不住记录一下

漏洞记录

1.余额充值余额9折

在第一版1.0版本的PPO中，老付直接将余额等字段写在了用户资料字段中，用户可以直接在wp原生后台中随意修改余额、等级等，不过很快就修复了，重新发布了第二版1.0。

第二版经过我的一顿捣鼓发现，竟然可以通过接口请求实现余额充值余额，而且因为充值9折优惠的缘故，充值10块扣9块余额，就可以免费直接拿到10%余额，左脚踩右脚叠加。

这个时候就有人要问了，你没有余额怎么充值的，确实老付当时还没开通支付，其实还有一招，那就是充值负数，但是没法命中优惠，导致冲多少扣多少，没法白嫖，关键时刻发现了另一个漏洞解决了这个问题，那就是老付把数字转成了字符串，10000->10,000，再转回数字，导致10,000->10，从而充值-10000时会在扣款环节加10块余额，而"增加"余额环节没有这个问题，导致扣款10000余额不足而且没有拦截，从而净赚10块启动资金，哈哈。

截图中分别是正数和负数充值。当然这个漏洞已经在后面的1.2版本修复了。

2.授权白名单

在1.0版本时，老付的授权系统只是把核心代码加密了，但是与授权站之间的传输没有加密，甚至没有ssl校验，被我通过中间人代理的方式完美破jie授权系统后，老付在chatgpt codex老师的配合下把授权系统从里到外重构了一遍，可以说相当安全。

1.2发布的第一时间，我尝试绕过授权系统，就在我刚准备开始干活时，我的站点竟直接激活了，并且我无论填谁的uid都能直接获取到对应的授权码成功激活，多次尝试甚至新建一个站点依旧能够随意激活，没有使用任何破jie手段，也是立即私信给了老付。

最后在codex老师的分析下发现，老付的授权站会直接放行测试站点，这很正常，关键是.dev后缀的域名竟然也在白名单内！

而我刚在1.2发布的前一天购买了aimoyu.dev，简直给我气笑了，老付表示是ai写的，他也没想到，哈哈。

结尾

已知漏洞均在最新版本被修复，帮老付找了不少漏洞，这也是为什么我是群里唯一一个有头衔的