漏洞挖掘 | 记录第一个src厂商的支付漏洞

admin 2024年9月19日14:58:21评论20 views字数 618阅读2分3秒阅读模式
本文由掌控安全学院 -

 lao六

 投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

前言

最近去搜了一些厂商SRC试一下,没想到已学的知识也能挖掘到逻辑漏洞,下面给大家说一下这个逻辑漏洞的思路,没想到居然存在的,也算是运气好吧,希望对大家有所帮助。纯实战文章,一点都不水,且是逻辑漏洞,简单易懂。

漏洞挖掘过程

首先先进入漏洞所在地址:
然后会有个活动,此时先玩15分钟游戏,然后等待变为"一分钱领取超级会员",然后再点击,点击之后会出现扫码支付页面,可以看到是每个用户"限一次"。

漏洞挖掘 | 记录第一个src厂商的支付漏洞

这个时候我们拿出手机,微信扫一个,但是不付款,在支付宝扫一个不付款,再用其他手机扫码不付款,其实经过我的测试,可以保存二维码,扫码付款之后再次扫码付款。

漏洞挖掘 | 记录第一个src厂商的支付漏洞

漏洞挖掘 | 记录第一个src厂商的支付漏洞漏洞挖掘 | 记录第一个src厂商的支付漏洞漏洞挖掘 | 记录第一个src厂商的支付漏洞漏洞挖掘 | 记录第一个src厂商的支付漏洞漏洞挖掘 | 记录第一个src厂商的支付漏洞

这里我是微信双开了付了一次款,可以看到均付款成功

漏洞挖掘 | 记录第一个src厂商的支付漏洞

我就付了3个,一个是自己的账号,一个是其他的账号,都测试一下,然后都付出去了,对下日期,今天是8月10号,会员到期时间是8月31号,支付了三次,正好21天,都到账了vip。

漏洞挖掘 | 记录第一个src厂商的支付漏洞

这个逻辑大概就是在没付款的时候,生成订单可以绕过检测优惠这个地方,实现发起多个支付包。

漏洞挖掘 | 记录第一个src厂商的支付漏洞

最后,结束测试,该漏洞已提交平台修复。

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

漏洞挖掘 | 记录第一个src厂商的支付漏洞

 

原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | 记录第一个src厂商的支付漏洞

 


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月19日14:58:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞挖掘 | 记录第一个src厂商的支付漏洞http://cn-sec.com/archives/3179496.html

发表评论

匿名网友 填写信息