前言
最近,金融、银行和证券行业也开始逐渐开放众测。相比于现在SRC挖掘越来越困难的情况,挖掘省地市金融SRC是非常不错的选择。今天分享个在地市金融中发现的逻辑漏洞,漏洞钱虽然不多,足够几次spa了。
某银行小程序零元购
看了这个地市银行挺多web资产,但是感觉waf很多并且没有测试的信用卡,网银业务类基本上没办法入手,在公众号翻到了一个可以直接微信登录的小程序,经过测试发现,某农信旗下公众号中的商城的购物车中存在负值反冲
选择商品加入购物车,抓包
发现数据包中有商品的数量
将数量改成负数,发送包,查看购物车,发现数量为负数,到这里我感觉这个漏洞已经成了。
选择商品,结算
最终价格为负数,订单为0元,实现0元购
修复方案
1.服务器端在生成交易订单时,商品的价格从数据库中取出,禁止使用客户端发送的商品价格。
2.服务器端对客户端提交的交易数据(如商品ID、商品数量、商品价格等)的取值范围进行校验,将商品ID和商品价格与数据库中的数据对比校验,商品数量为大于零的整型数。
3.服务器端在生成支付订单时,对支付订单中影响支付金额的所有因素(比如商品ID、商品数量、商品价格、订单编号等)进行签名,对客户端提交的支付订单进行校验。
原文始发于微信公众号(西山云安):某金融赏金SRC 零元购
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论