扫码领资料
获网安教程
免费&进群
今天也是偶然,想要下载一份实习证明,在网上寻找模板,在某网站中发现有一些简洁,合适的模板,发现需要充VIP,于是抱着试一试的态度测试了一下是否有支付漏洞
1, 在word文档素材模块,随意点击下载,会跳转如下画面
2, 这个地方使用burpsuite抓包工具打开拦截,刷新页面
3,到二维码没有刷新出来的这个包中观察参数发现两个关于money的参数
全部将其修改为0.01,然后放包过去,之后还有一个支付宝的二维码也可以同样操作,全部放过去之后,停止抓包,扫码进行支付
发现生成的是0.01的支付金额,支付成功后,获得word文档终身VIP
绑定手机号之后,便可以随意下载word模板
直接给他们公司发了过去,送了一年的他们全站vip,本来要出钱的,现在白嫖一个会员也是可以的,哈哈哈!!!
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。
原文始发于微信公众号(白帽子左一):实战某网站充值处的支付漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论