如题，我现在非常震惊。 
大家看我不是管理吧？但我的权限绝不比管理低。我甚至可以随便改Neo的帖子！ 


 [image] 
非常非常匪夷所思，对不对？有人会说，后端可能鉴权？ 
现在是17:33 我在17.34在标题后加了一个句号。然后打开无痕，不登陆： 
 [image] 
我对NEO佬动手动脚！甚至，改区行不行？我刚才随便找了个帖子，从lv1改到lv0，发现无痕不登陆就能访问了！（of course,for responsibility,马上给他改回来了） 
再进一步，这都能不验证了，那消息是否验证？？？ 
好像根本没有！抓包发现改消息的操作都是明文，改几个参数，整个L站任你修改！可行性我还没有验证，吃完饭后我再来试试。 
再，更进一步？？这特么好像还有SSTI！懂得都懂。因为他改完了会返回一个，发现了根本不验证权限，那能不能注入？ 
字打得比较凌乱，因为我现在确实比较震惊。但我可...