一个价值300美金的逻辑漏洞

一个价值300美金的漏洞

正文

平常在做安全测试的时候，对于那些与用户有着交互的功能要重点测试，本文发现的这个漏洞就是一个与用户有交互的功能。

测试的这个项目是一个足球比赛游戏,测试的功能是一个组建团队的功能，具体来说就是为你的足球队伍选择一个队长。

在创建这个团队的时候，发现JSON主体里面每个队员都有这样的一个参数:

“captain: true”或者是“captain: false”

这里尝试将每个队员的这个参数都改成captain: true,发现起作用了，其实这是一个漏洞，因为一个队长标签可以使一名玩家的实力增加50%,但是现在整个团队的实力增加了50%

原文始发于微信公众号（迪哥讲事）：一个价值300美金的逻辑漏洞