SRC技巧篇-无限首充薅羊毛

admin 2024年7月19日12:13:38评论10 views字数 700阅读2分20秒阅读模式

生活中总会遇到这样那样的首充活动,商家给你培养充值消费习惯。但是,只要羊毛薅得狠,贫穷就追不上我。

SRC技巧篇-无限首充薅羊毛

绕过有次数限制的支付逻辑漏洞

 

常见的支付类逻辑漏洞,如:金额篡改,条件竞争,整数溢出,四舍五入,金额对冲等现在基本上已经很难挖到了,一般都被防护的很好

这里分享一个针对限制次数折扣的洞,例如每个账号只限一次的首冲,或者只有一张的大额优惠卷

很多厂商都会搞一些活动,在享受优惠的时候,会标上用户只能购买一次,或者只能充值一次vip的条件,或者首冲福利,这种地方其实也是会有漏洞产生的

首先现在有个场景是首冲9.9元一个月的vip,首冲过后账户再充值vip需要25元一个月。

➡先创建一个首冲订单

SRC技巧篇-无限首充薅羊毛

➡然后此时不要付款,再去多创建几个充值订单,然后记得去查看订单号,看订单号是否不同

➡现在有多个9.9元订单的二维码,现在扫第一个订单,成功支付

 

SRC技巧篇-无限首充薅羊毛

➡然后这里要在微信里取消续费

SRC技巧篇-无限首充薅羊毛

➡接着再扫第二个订单,第二个订单依旧是9.9元

SRC技巧篇-无限首充薅羊毛

➡两次花费的都是9.9的首冲,并且关键在于vip有效日期成功叠加,变成了两个月

所以只要创建的订单足够多,就能无限首冲。

举一反三,优惠卷也是同理,因为当创建二维码的时候,价格就已经定了,此时优惠卷是已经算在里面了,所以多个二维码就相当于多个优惠卷减额。

 

漏洞原理

 

结论:只要不付款,可以一直创建订单,并且订单编号也不一样。

漏洞的原理就是程序员在开发的时候会忽略掉用户可以在不支付前,多次创建订单来突破限制。

 

只要不退出活动页面或者不支付就可以无限创建订单,并且vip时间可以一直叠加。

 
关注我们了解更多有意思的漏洞~

 

原文始发于微信公众号(OneTS安全团队):SRC技巧篇-带兄弟们无限首充薅羊毛

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月19日12:13:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SRC技巧篇-无限首充薅羊毛http://cn-sec.com/archives/2974265.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息