因为中奖逻辑完全取决于后端接口返回的数据，攻击者可以发起中间人攻击，劫持前端发送的请求，然后伪造后端接口返回的数据返回给前端。

例如使用 ARP 欺骗：

攻击者和前端主机处于同一局域网内，攻击者主机伪造 ARP 响应报文，在局域网内广播，使局域网内的主机将攻击者主机的 MAC 地址和后端主机的 IP 绑定到一起。前端主机再发送后端请求时就会把目的 MAC 地址设为攻击者主机的 MAC 地址，这时攻击者主机就会接收这个报文。攻击者主机再开启 IPv4 转发和端口转发功能，便可伪造接口数据给前端。

广播 ARP 响应报文可用 arpspoof 工具。