先简单的fuzz一下路径，得到了一些user，system，survery等一些有效的根路径，继续fuzz一下路径。当然了测试，用的是自己号。GET请求/env会直接泄露环境变量，内网地址，配置中的用户名等信息。将POC中的security.user.password替换为实际要获取的属性名，直接发包就行。大量未授权操作：如未授权添加角色，未授权查看角色列表，未授权删除角色。

微信小程序：通过微信(扫描二维码、搜索、分享)即可获得;App：从应用商店(App Store、应用汇等)下载安装;微信小程序：无需安装，和微信共用内存使用，占用内存空间忽略不计;App：安装于手机内存，一直占用内存空间，太多的 App 可能导致内存不足;微信小程序：一次开发，多终端适配;App：需适配各种主流手机，开发成本大;微信小程序：提交到微信公众平台审核，云推送;App：向十几个应用商店提