适合新手小白挖掘的高危逻辑漏洞

admin 2024年9月23日01:15:15评论22 views字数 656阅读2分11秒阅读模式

扫码领资料

获网安教程

适合新手小白挖掘的高危逻辑漏洞

适合新手小白挖掘的高危逻辑漏洞

本文由掌控安全学院 - asdad投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

1.某天在购买代理时发现代理商推出了一个新活动,一般新活动的校验不是很严格,随便发起一个订单,开启bp抓包测试一下。

适合新手小白挖掘的高危逻辑漏洞
img

2.查看抓包内容,能改的参数都改一下,发现改变之后,存在校验,具体就是发送购买的订单数据到后端,后端计算出来相应的金额,和这个count的金额比较,一样就能支付,不一样就会报错

适合新手小白挖掘的高危逻辑漏洞
img
适合新手小白挖掘的高危逻辑漏洞
img

3.那这就没办法了,虽然可以修改参数,但是没有造成任何损失,但是我还是不甘心,毕竟当时在这个站还存在很多低危的漏洞虽然没用,但是一看就是不太专业的人搭建的,于是我把每个功能点都测试抓包,终于,在购买时间的参数上发现了端倪,这个网站居然是包时和包天的参数居然是用两个参数传输

适合新手小白挖掘的高危逻辑漏洞
img

4.我就想后端是会接收第一个day还是第二个day2参数呢,按理说选择包时就会出现day2,包天就出现day,但是开发人员可能忘记删除了,于是我就选择3小时的服务,抓包将包天的参数day改为1。5.刚刚去测试了一下,虽然修复了,但是还是不完善,简单测试了一下,购买3小时可以看到下单是包时的订单

适合新手小白挖掘的高危逻辑漏洞
img

但是最终查看服务时间变成1天了

适合新手小白挖掘的高危逻辑漏洞
img

最终:相关漏洞已提交漏洞平台~

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

适合新手小白挖掘的高危逻辑漏洞

原文始发于微信公众号(掌控安全EDU):适合新手小白挖掘的高危逻辑漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月23日01:15:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   适合新手小白挖掘的高危逻辑漏洞https://cn-sec.com/archives/3194166.html

发表评论

匿名网友 填写信息