逻辑漏洞是指在软件或系统的设计和实现中,由于逻辑错误或缺陷导致的安全问题。这些漏洞不是由于代码编写的错误引起的,而是由于系统设计时的逻辑思路有问题,导致系统在某些情况下无法正常处理,进而被攻击者利用。
简单理解:就是编程人员的思维逻辑不够严谨造成的漏洞。
逻辑漏洞的危害:
逻辑漏洞的存在,可能导致系统崩溃、数据泄露、功能异常等问题,严重时甚至可能被黑客利用,对系统安全构成威胁。
二、漏洞分析发现
本次挖掘的漏洞为微信小程序
随意选择一个商品,点击支付
掏出大宝贝开始抓包
payType":"01","payWay":"01","payOrg":"31"
测试发现代码内容为如下:
payType=01( 支付类型),payWay=01(支付方式),payOrg=31(支付机构)
把payType支付类型、payWay支付方式,把参数都改为0
payType":"0","payWay":"0","payOrg":"31"
然后直接关掉拦截,直接放包
这里因为小程序无法查看订单状态,所以下载一个商城app查看
可以看见商品已经在处理了。后续也是立马取消了订单
写报告提交平台进行修复
原文始发于微信公众号(craxpro安全实验室):某运营商支付逻辑漏洞的意外发现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论