正文
目标为target.com
在购物车中添加一些商品并尝试下订单,同时观察到一个post api调用/cart/session这个接口,其中只有一个参数,即cartID,它投6位数值,例如:cartID=123456,这里检查了请求的响应,并观察它包含所有用户详细信息,包括电话号码和电子邮件地址,这里决定暴力破解此参数,尝试暴力破解最后4位数字,发现这个参数容易收到IDOR的攻击。
对于一些请求,观察到“此购物车ID已过期”的错误消息。根据这里的理解,服务器为用户分配了一个唯一的购物车ID,而客户试图发起支付,这个购物车ID仅在一小时内有效。这是一个高严重性问题,但我的目标是找到一个业务逻辑问题,所以这里继续测试。
这里有100个积分,可以抵用100元,当使用这些积分的时候,应用程序执行以下的http请求:
为了检查响应,这里进行拦截,在响应中观察到折扣价格,将其改为零,并forward这里的响应,发现在app中修改后的订单价格为0。
尝试下这个订单,可能需要支付实际金额。由于应用程序中的订单金额为零,为了测试它我尝试下这个订单,令人惊讶的是,订单成功了。
往期回
原文始发于微信公众号(迪哥讲事):一个支付漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论