类似的事情我在以前实验过
许多人事系统其实是没有后端检查的
就是看你工位跟工号 然后表单送出什么资料 后端照收
所以你能做的操作就很多 甚至能够直接写同事的工号 替同事打卡
总之这类系统不管是外包还是公司自己写的 通常都很简陋
使用者甚至不用什么骇客技巧(例如sql injection) 稍微有点常识就能办到
不过我在想有的时候乙方或IT可能也没意识到会有这类问题
他有这个意识 就不会去当乙方