由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。
"立即购买"
抓取数据包
分析数据包,发现goodsNum(商品数量)是与支付金额有关的参数,将该参数修改为小数0.1,放包
goodsNum必须是数字,随后将goodsNum的值修改为-1也不行。
在加入购物车的数据包中也存在goodsNum参数
将goodsNum的值修改为小数0.1,提交成功
修改成功了,实付款金额0.00,但是支付的时候有订单金额限制
添加一个超过39元的商品,其他商品就实现了0元购
关于支付漏洞的挖掘技巧还不只于此,本文内容仅供参考!
原文始发于微信公众号(Cyb3rES3c):支付漏洞实现0元购
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论