支付漏洞实战

admin 2020年8月28日09:00:50评论205 views字数 684阅读2分16秒阅读模式

本文作者:Heart(Ms08067实验室 SRSP TEAM小组成员)

支付漏洞实战

  

首先先了解支付漏洞:

支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费使用,直接造成企业的经济损失。

这次带来的是某辅助论坛的邀请码购买处的支付漏洞实战,仅供参考。

首先打开目标:

https://www.XXXX.com/rjyfk_invite-in.html

此处是它购买邀请码的地址:

支付漏洞实战

然后填写好邮箱后点击 立即购买 然后利用burp进行抓包

因为价格是10 我们搜索“10”得到如下结果:

支付漏洞实战

可以看到 “total_fee=10”  那么10就代表了邀请码的价格 那么我们直接进行修改我们先试试修改为0.1看看效果

支付漏洞实战

可以看到应付金额为0元 我们修改的是0.1为什么是0元呢 这就是网站对于支付金额的限制 明显看到这里是取到 “元” 后面的 “角” “分”应该是按照取0 或者是 四舍五入来判定 既然此处是0元 那么我们试试0元是否生成支付接口完成支付操作

支付漏洞实战

可以看到 0 元无法支付 那么我们试试1元看看是否能成功

支付漏洞实战

可以看到生成的订单是1元的 那么我们来支付看看:

支付漏洞实战

可以看到成功显示了支付页面 那么我们来支付看看

支付漏洞实战


再看邮箱是否成功收到邀请码:

支付漏洞实战

可以看到成功获取邀请码 那么我们来试试注册是否可用

支付漏洞实战

成功登录:

支付漏洞实战

他这里的VIP购买我看过后 使用的是同一接口 那么同理存在支付漏洞 以同样的方法进行抓包改包就能成功1元购买VIP 我这里测试也就到这一步骤  不进行进一步的测试了 毕竟人家开论坛 也不好搞的太狠。文章比较水 求大佬萌不要喷~~




扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

支付漏洞实战 支付漏洞实战

支付漏洞实战 支付漏洞实战 支付漏洞实战

目前30000+人已关注加入我们

支付漏洞实战


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月28日09:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   支付漏洞实战https://cn-sec.com/archives/108163.html

发表评论

匿名网友 填写信息