前言:
这是在私人计划发现的bug,Target: https://bhojdeals.com
这篇文章会演示:未经授权的操作漏洞,绕过 Waf 和防火墙安全,未经身份验证的优惠券创建漏洞,价格操纵漏洞,价格调节漏洞。
这是在私人计划发现的bug,Target: https://bhojdeals.com
这篇文章会演示:未经授权的操作漏洞,绕过 Waf 和防火墙安全,未经身份验证的优惠券创建漏洞,价格操纵漏洞,价格调节漏洞。
点击My account来到个人订单这里,选择1285.00这个订单
输入优惠卷,点击Apply
到下面选择支付类型
点击付款,可以看到提示下订单成功
点击转到订单看详细信息
此时这个价格时还没有添加优惠卷的,在下面取消订单
重新回到账户选择一个商品可以看到现在价格是1274.00
输入优惠卷,burpsuite开启拦截,点击Appy
拦截数据包查看响应
修改响应的状态为1
放开数据包后回到订单页面进行下订单到订单详情页面可以看到从1274.00变成1156.60
原文始发于微信公众号(重生者安全团队):【赏金猎人】折扣政策绕过漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论