支付漏洞实战

  • A+
所属分类:安全文章

本文作者:Heart(Ms08067实验室 SRSP TEAM小组成员)

支付漏洞实战

  

首先先了解支付漏洞:

支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费使用,直接造成企业的经济损失。

这次带来的是某辅助论坛的邀请购买处的支付漏洞实战,仅供参考。

首先打开目标:

https://www.XXXX.com/rjyfk_invite-in.html

此处是它购买邀请码的地址:

支付漏洞实战

然后填写好邮箱后点击 立即购买 然后利用burp进行抓包

因为价格是10 我们搜索“10”得到如下结果:

支付漏洞实战

可以看到 “total_fee=10”  那么10就代表了邀请码的价格 那么我们直接进行修改我们先试试修改为0.1看看效果

支付漏洞实战

可以看到应付金额为0元 我们修改的是0.1为什么是0元呢 这就是网站对于支付金额的限制 明显看到这里是取到 “元” 后面的 “角” “分”应该是按照取0 或者是 四舍五入来判定 既然此处是0元 那么我们试试0元是否生成支付接口完成支付操作

支付漏洞实战

可以看到 0 元无法支付 那么我们试试1元看看是否能成功

支付漏洞实战

可以看到生成的订单是1元的 那么我们来支付看看:

支付漏洞实战

可以看到成功显示了支付页面 那么我们来支付看看

支付漏洞实战


再看邮箱是否成功收到邀请码:

支付漏洞实战

可以看到成功获取邀请码 那么我们来试试注册是否可用

支付漏洞实战

成功登录:

支付漏洞实战

他这里的VIP购买我看过后 使用的是同一接口 那么同理存在支付漏洞 以同样的方法进行抓包改包就能成功1元购买VIP 我这里测试也就到这一步骤  不进行进一步的测试了 毕竟人家开论坛 也不好搞的太狠。文章比较水 求大佬萌不要喷~~




扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

支付漏洞实战 支付漏洞实战

支付漏洞实战 支付漏洞实战 支付漏洞实战

目前30000+人已关注加入我们

支付漏洞实战


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: