扫码领资料
获网安教程
本文由掌控安全学院 - asdad投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
1.某天在购买代理时发现代理商推出了一个新活动,一般新活动的校验不是很严格,随便发起一个订单,开启bp抓包测试一下。
2.查看抓包内容,能改的参数都改一下,发现改变之后,存在校验,具体就是发送购买的订单数据到后端,后端计算出来相应的金额,和这个count的金额比较,一样就能支付,不一样就会报错
3.那这就没办法了,虽然可以修改参数,但是没有造成任何损失,但是我还是不甘心,毕竟当时在这个站还存在很多低危的漏洞虽然没用,但是一看就是不太专业的人搭建的,于是我把每个功能点都测试抓包,终于,在购买时间的参数上发现了端倪,这个网站居然是包时和包天的参数居然是用两个参数传输
4.我就想后端是会接收第一个day还是第二个day2参数呢,按理说选择包时就会出现day2,包天就出现day,但是开发人员可能忘记删除了,于是我就选择3小时的服务,抓包将包天的参数day改为1。5.刚刚去测试了一下,虽然修复了,但是还是不完善,简单测试了一下,购买3小时可以看到下单是包时的订单
但是最终查看服务时间变成1天了
最终:相关漏洞已提交漏洞平台~
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):适合新手小白挖掘的高危逻辑漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论