類似的事情我在以前實驗過
許多人事系統其實是沒有後端檢查的
就是看你工位跟工號 然後表單送出什麼資料 後端照收
所以你能做的操作就很多 甚至能夠直接寫同事的工號 替同事打卡
總之這類系統不管是外包還是公司自己寫的 通常都很簡陋
使用者甚至不用什麼駭客技巧(例如sql injection) 稍微有點常識就能辦到
不過我在想有的時候乙方或IT可能也沒意識到會有這類問題
他有這個意識 就不會去當乙方