补天付费厂商逻辑漏洞简单挖掘

admin 2021年7月27日03:12:30评论268 views字数 376阅读1分15秒阅读模式

闲来无事  给大家讲一下简单的逻辑漏洞挖掘


额  某天下午  准备刷刷补天排名  奈何大牛们基本把肉都吃光了  汤都不给点  




于是乎看到一个厂商就是一阵乱点   



客官请看~~~


多处逻辑漏洞:


漏洞详细:

1、会员中心更改手机号处未加验证  虽然不可更换绑定手机但是可抓包更改手机号给任意手机发

补天付费厂商逻辑漏洞简单挖掘


补天付费厂商逻辑漏洞简单挖掘


2、更改支付密码处更改手机号处未加验证  虽然不可更换绑定手机但是可抓包更改手机号给任意

补天付费厂商逻辑漏洞简单挖掘


补天付费厂商逻辑漏洞简单挖掘


3、更改登录密码出第一次更改输入身份证后四位未加限制  可burp爆破   



4、还有测试时发现15分钟内无论更改绑定手机还是支付密码  发出的验证码都是同一个

补天付费厂商逻辑漏洞简单挖掘
补天付费厂商逻辑漏洞简单挖掘
相信这个有点基础的都看得懂吧 只是随便看了下就找到了


所以不要想着在主站




找什么注入啥的   大牛们早就挖光了   逻辑漏洞这种小漏洞随处看看  瞅瞅也是能




刷刷排名啥的





本文始发于微信公众号(飓风网络安全):补天付费厂商逻辑漏洞简单挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月27日03:12:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   补天付费厂商逻辑漏洞简单挖掘http://cn-sec.com/archives/359591.html

发表评论

匿名网友 填写信息