补天付费厂商逻辑漏洞简单挖掘

  • A+
所属分类:安全文章

闲来无事  给大家讲一下简单的逻辑漏洞挖掘


额  某天下午  准备刷刷补天排名  奈何大牛们基本把肉都吃光了  汤都不给点  




于是乎看到一个厂商就是一阵乱点   



客官请看~~~


多处逻辑漏洞:


漏洞详细:

1、会员中心更改手机号处未加验证  虽然不可更换绑定手机但是可抓包更改手机号给任意手机发

补天付费厂商逻辑漏洞简单挖掘


补天付费厂商逻辑漏洞简单挖掘


2、更改支付密码处更改手机号处未加验证  虽然不可更换绑定手机但是可抓包更改手机号给任意

补天付费厂商逻辑漏洞简单挖掘


补天付费厂商逻辑漏洞简单挖掘


3、更改登录密码出第一次更改输入身份证后四位未加限制  可burp爆破   



4、还有测试时发现15分钟内无论更改绑定手机还是支付密码  发出的验证码都是同一个

补天付费厂商逻辑漏洞简单挖掘
补天付费厂商逻辑漏洞简单挖掘
相信这个有点基础的都看得懂吧 只是随便看了下就找到了


所以不要想着在主站




找什么注入啥的   大牛们早就挖光了   逻辑漏洞这种小漏洞随处看看  瞅瞅也是能




刷刷排名啥的





本文始发于微信公众号(飓风网络安全):补天付费厂商逻辑漏洞简单挖掘

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: