本文作者:Heart(Ms08067实验室 SRSP TEAM小组成员)
首先先了解支付漏洞:
支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费使用,直接造成企业的经济损失。
这次带来的是某辅助论坛的邀请码购买处的支付漏洞实战,仅供参考。
首先打开目标:
https://www.XXXX.com/rjyfk_invite-in.html
此处是它购买邀请码的地址:
然后填写好邮箱后点击 立即购买 然后利用burp进行抓包
因为价格是10 我们搜索“10”得到如下结果:
可以看到 “total_fee=10” 那么10就代表了邀请码的价格 那么我们直接进行修改我们先试试修改为0.1看看效果
可以看到应付金额为0元 我们修改的是0.1为什么是0元呢 这就是网站对于支付金额的限制 明显看到这里是取到 “元” 后面的 “角” “分”应该是按照取0 或者是 四舍五入来判定 既然此处是0元 那么我们试试0元是否生成支付接口完成支付操作
可以看到 0 元无法支付 那么我们试试1元看看是否能成功
可以看到生成的订单是1元的 那么我们来支付看看:
可以看到成功显示了支付页面 那么我们来支付看看
再看邮箱是否成功收到邀请码:
可以看到成功获取邀请码 那么我们来试试注册是否可用
成功登录:
他这里的VIP购买我看过后 使用的是同一接口 那么同理存在支付漏洞 以同样的方法进行抓包改包就能成功1元购买VIP 我这里测试也就到这一步骤 不进行进一步的测试了 毕竟人家开论坛 也不好搞的太狠。文章比较水 求大佬萌不要喷~~
扫描下方二维码加入星球学习
加入后会邀请你进入内部微信群,内部微信群永久有效!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论