通用漏洞-购买支付逻辑 & 数据篡改
通用漏洞-购买支付逻辑 & 数据篡改
篡改购买价格、购买数量、支付方式、订单号、支付状态
替换支付、重复支付、最小额支付、负数支付、溢出支付、优惠券支付
1、产品覆盖
-用低价该高价的商品,对比两个数据包,对信息进行修改除了价格,其他信息改成高价商品的信息,post请求中的数据
2、支付接口修改-信息替换
抓包没有商品价格,可以修改数量
没有数量咋办?
没办法,想其他思路 – 优惠券
3、使用优惠券和不时有优惠券抓包找不同
找到使用优惠券的数据包特征
修改优惠券数据
使用优惠券薅羊毛
修复-优惠券-数据特征不明显,加密字段
4、订单覆盖
-用一个的订单覆盖10000的订单
抓包找到get请求头,用一个的去购买1000000的,覆盖数据包头
http://guarantee1.qilecms.com/
直接抓包修改
漏洞修复 & 代码审计
1、金额以数据库为准-不然呢就可以进行篡改了(前提是数据库信息安全,没有被篡改哦)
2、购买数量限制为正整数(不能为负数或者小数哦)
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 💫YaaBlog!
