该漏洞已经向相关单位与平台进行报告,本文中图片、内容等均已脱敏!!!
小程序搜索:xxxxxx
进入后,打开ce修改器,并选择到对应的进程,进程判断使用变速进行
使用CE搜索并抓取金币数据
消耗一点后修改扫描
并未找到说明进行了加密,进行未知初始值扫秒,获取地址
进行增加,减少,不变的改变后,再次扫描
减少
不变
减少
增加
重复操作到剩余300结果以内
发现奇怪数值,数值为金币的2倍,尝试修改查看效果
修改成功,体力需要获取需要看广告,所以以2倍进行查找修改体力
修改成功
原文始发于微信公众号(隼目安全):【相关分享】记一次小程序逻辑漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论