SRC技巧篇-无限首充薅羊毛

常见的支付类逻辑漏洞，如:金额篡改，条件竞争，整数溢出，四舍五入，金额对冲等现在基本上已经很难挖到了，一般都被防护的很好。

这里分享一个针对限制次数折扣的洞，例如每个账号只限一次的首冲，或者只有一张的大额优惠卷。

很多厂商都会搞一些活动，在享受优惠的时候，会标上用户只能购买一次，或者只能充值一次vip的条件，或者首冲福利，这种地方其实也是会有漏洞产生的

首先现在有个场景是首冲9.9元一个月的vip，首冲过后账户再充值vip需要25元一个月。

➡先创建一个首冲订单

➡然后此时不要付款，再去多创建几个充值订单，然后记得去查看订单号，看订单号是否不同

➡现在有多个9.9元订单的二维码，现在扫第一个订单，成功支付

➡然后这里要在微信里取消续费

➡接着再扫第二个订单，第二个订单依旧是9.9元

➡两次花费的都是9.9的首冲，并且关键在于vip有效日期成功叠加，变成了两个月

所以只要创建的订单足够多，就能无限首冲。

举一反三，优惠卷也是同理，因为当创建二维码的时候，价格就已经定了，此时优惠卷是已经算在里面了，所以多个二维码就相当于多个优惠卷减额。

结论：只要不付款，可以一直创建订单，并且订单编号也不一样。

漏洞的原理就是程序员在开发的时候会忽略掉用户可以在不支付前，多次创建订单来突破限制。

只要不退出活动页面或者不支付就可以无限创建订单，并且vip时间可以一直叠加。