实战某985院x校支付漏洞

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

0x01 前言

web应用程序中的逻辑漏洞各不相同，有的很明显，有的很微妙。与SQL注入和跨站不同，逻辑漏洞没有共有的“签名”，定义特性是指应用程序执行的逻辑存在某种缺陷。大部分逻辑缺陷表现为开发者在思考过程中做出的特殊假设存在明显或隐含的错误，通俗点来说，有的开发者会这样认为，如果发生A，就会出现B，因此我执行C。没有考虑如果发生X会怎么样，这种错误的假设会造成许多安全漏洞。逻辑漏洞是多样性的，挖掘它们需要从不同的角度思考问题，设法了解设计者和开发者做出的各种假设，然后考虑如何攻击。

常见的逻辑漏洞

一般哪些地方容易报出逻辑漏洞呢，比如，密码找回、交易支付、密码修改、突破限制等

0x02 正文

找到了一个站点里面提供了注册功能，

注册后登录进去发现有网上订票功能

日期任意填写

添加观众

添加观众

选择一个展览

点击支付

然后点击支付订单的时候开启抓包，进行抓包操作

修改完后直接放包即可

支付成功

发现已经成功支付并且订单已经生成，为带验票状态

0x03 防御方法

1、在后端检查订单的每一个值，包括支付状态。

2、校验价格、数量参数，比如产品数量只能为整数，并限制最大购买数量 。

3、与第三方支付平台检查，实际支付的金额是否与订单金额一致。

4、如果给用户退款，要使用原路、原订单退回。比如：退押金，按用户原支付订单原路退回。

5、MD5 加密、解密、数字签名及验证，这个可以有效的避免数据修改，重放攻击中的各种问题。

6、金额超过指定值，进行人工审核等。

0x04 知识星球

★

付费圈子

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

原文始发于微信公众号（渗透安全团队）：实战某985院x校支付漏洞