由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责...
实战|记一次公众号商城服务1分钱购物漏洞
前言支付漏洞是一个攻击者可以通过利用漏洞,窃取用户支付信息或篡改订单,从而获得非法利益。这些漏洞可能源自支付系统的设计缺陷、开发过程中的疏忽、系统配置不当、网络攻击等多种原因。因此,支付漏洞的存在会给...
“0元购”支付逻辑漏洞的意外发现
项目在某授权项目中对多个app进行漏洞挖掘的一次过程中,发现某一款app软件中可通过打卡的方式进行积分累积,累积后的积分可通过换购的方式在积分商城进行商品换购。随手对打卡获得积分的功能和购物的功能进行...
干货 | 支付与并发漏洞挖掘技巧
支付漏洞-金额溢出Int型最大值2147483647,超过该值后,从0开始技术,即1=2147483649利用方式:1.直接修改金额2.通过修改数量,比如用1300元买3300元的6w多件商品支付漏洞...
DedeCMS_v5.7_carbuyaction_存储型XSS
Affected Version¶ DedeCMS-V5.7-UTF8-SP2 ( 发布日期 2017-03-15 ) 需要站点启用商城功能。 下载地址: 链接: https://pan.b...
业务逻辑漏洞-利用示例(四)
在本节中,我们将学习设计和开发团队所犯的一些典型错误的示例,来查看是如何直接导致业务逻辑缺陷的,主要包含以下五个方面:◆过度信任客户端控制◆无法处理非常规输入◆对用户行为做出有缺陷的假设◆特定领域的缺...
SRC威胁情报挖掘
原文作者:lan3et原文地址:https://xz.aliyun.com/t/11119目录什么是威胁情报src会收取什么样的漏洞情报如何挖掘漏洞情报几个src提交情报的感受什么是威胁情报从各大乙方...
【安全圈】上海一货车司机疯狂刷单“薅羊毛”百万元,利用平台漏洞发布虚假订单、伪装行车路线……
关键词平台漏洞谁在疯狂刷单?为了赚取平台发布的“补贴”,货车司机“自导自演”下单、接单,并利用第三方软件修改定位,虚假完成订单,欺骗平台人工智能,几个月的时间跑空单达2万多单,疯狂“薅羊毛”100多万...
谁还没经历过死锁呢
来自公众号:小林coding大家好,我是小林。说个很早之前自己遇到过数据库死锁问题。有个业务主要逻辑就是新增订单、修改订单、查询订单等操作。然后因为订单是不能重复的,所以当时在新增订单的时候做了幂等性...
业务逻辑漏洞
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为 业务逻辑漏洞 关注重点 业务流程 HTTP/HTTPS 请求分析 详情可看此篇https://github.com/P...
【渗透实战系列】|9-记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)
某天挖 edu 挖到自闭,然后想着 fofa 一下,看看有没有什么好玩的站点好家伙,居然还真有这种商城,原谅我孤陋寡闻了。于是乎,想进去学习了一下首先,进行了一下初步的信息收集基本上都是伪静态的,没有...
论防刷票、恶意提交表单:公司网站被恶意提交订单,看你如何解决?
公司网站被恶意提交订单,看你如何解决? 情逍遥 | 2014-04-02 10:23 http://www.178wh.com/bdjs/?16 公司网站,可以提交订单。整天闲在蛋碎的人来提交很多没用...
5