摘要： 打开链接，如图，有注册登录的界面，一开始想到的是sql注入，但是发现并不是 百度了一下才知道是YApi漏洞 https://blog.csdn.net/Trouble_99/article/details/118667625 这个yapi的漏洞，可以通过JS脚本直接远程执行命令。 先注册一个账号，然 阅读全文