生活中总会遇到这样那样的首充活动,商家给你培养充值消费习惯。但是,只要羊毛薅得狠,贫穷就追不上我。
常见的支付类逻辑漏洞,如:金额篡改,条件竞争,整数溢出,四舍五入,金额对冲等现在基本上已经很难挖到了,一般都被防护的很好。
这里分享一个针对限制次数折扣的洞,例如每个账号只限一次的首冲,或者只有一张的大额优惠卷。
很多厂商都会搞一些活动,在享受优惠的时候,会标上用户只能购买一次,或者只能充值一次vip的条件,或者首冲福利,这种地方其实也是会有漏洞产生的
首先现在有个场景是首冲9.9元一个月的vip,首冲过后账户再充值vip需要25元一个月。
➡先创建一个首冲订单
➡然后此时不要付款,再去多创建几个充值订单,然后记得去查看订单号,看订单号是否不同
➡现在有多个9.9元订单的二维码,现在扫第一个订单,成功支付
➡然后这里要在微信里取消续费
➡接着再扫第二个订单,第二个订单依旧是9.9元
➡两次花费的都是9.9的首冲,并且关键在于vip有效日期成功叠加,变成了两个月
所以只要创建的订单足够多,就能无限首冲。
举一反三,优惠卷也是同理,因为当创建二维码的时候,价格就已经定了,此时优惠卷是已经算在里面了,所以多个二维码就相当于多个优惠卷减额。
结论:只要不付款,可以一直创建订单,并且订单编号也不一样。
漏洞的原理就是程序员在开发的时候会忽略掉用户可以在不支付前,多次创建订单来突破限制。
只要不退出活动页面或者不支付就可以无限创建订单,并且vip时间可以一直叠加。
原文始发于微信公众号(OneTS安全团队):SRC技巧篇-带兄弟们无限首充薅羊毛
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论