某交友APP一分钱买会员漏洞
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
漏洞详情:
某交友APP存在逻辑缺陷,用户可以通过修改会员价格用一分钱购买价值388元的会员(玩的就是白嫖~)。
发挥会员钞能力还怕找不到npy,解锁无限畅聊,右滑喜欢不受限
发现过程:
首先在点点数据看下app的下载量,一千多万次的下载量,实际使用用户应该还是挺多的。
在模拟器中安装好后登录,到开通会员界面,选择价值388的会员套餐(要买就买最贵的
),抓到下面这个数据包,price参数代表的是价格。
经过了各种尝试,最终发现价格最低只能到0.01,再低就会创建订单失败,看来不能零元购了
。
修改价格为0.01后放包、支付。
支付一分钱后就成功买到价值388一年的会员了
最后来看看会员的特权都有什么,这么多的特权一分钱拿到,岂不是美滋滋。
漏洞已报送相关单位且已修复。
感谢各位大佬们关注-不秃头的安全,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持。
原文始发于微信公众号(不秃头的安全):实战SRC|某交友APP一分钱买会员漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论