通用漏洞-购买支付逻辑 & 数据篡改

篡改购买价格、购买数量、支付方式、订单号、支付状态
替换支付、重复支付、最小额支付、负数支付、溢出支付、优惠券支付

1、产品覆盖

-用低价该高价的商品,对比两个数据包,对信息进行修改除了价格,其他信息改成高价商品的信息,post请求中的数据

2、支付接口修改-信息替换

抓包没有商品价格,可以修改数量

没有数量咋办?

没办法,想其他思路 – 优惠券

3、使用优惠券和不时有优惠券抓包找不同

找到使用优惠券的数据包特征
修改优惠券数据

使用优惠券薅羊毛

修复-优惠券-数据特征不明显,加密字段

4、订单覆盖

-用一个的订单覆盖10000的订单

抓包找到get请求头,用一个的去购买1000000的,覆盖数据包头

http://guarantee1.qilecms.com/

直接抓包修改

漏洞修复 & 代码审计

1、金额以数据库为准-不然呢就可以进行篡改了(前提是数据库信息安全,没有被篡改哦)
2、购买数量限制为正整数(不能为负数或者小数哦)