点击左上角 订阅 了解更多漏洞信息
01.漏洞描述
02.展示过程 500X币可以兑换1块钱,接口是这样的
选择兑换1元,burp抓包
alipay就是支付宝账号,degreeid就是金额,把1改成6,发包
秒到账,无人工审核,而且后续测试发现,接口处写的日限5次无效,兑换大于我X币值的金额它扣不掉我的积分,就是说无条件无限兑换,每次请求也没有token之类的,可以批量,也就是我可以一天赚1000万。
03.结尾
这漏洞实在没啥好说的,是个会抓包的就能发现这漏洞,0技术含量。所以这里想说些其他的,算是挖洞经验吧。
就从这个漏洞说起,该app是国内较早的一批,非常知名的贷款软件,目前也还是风生水起的。假如你没有用网贷产品,你可能不会去注意这个东西,那自然是不会来测这个东西了。
这里就总结出第一条经验:善于观察自己常用的产品,因为常用,那它大部分功能点你应该会相对熟悉一些,测试也会高效一些,也可能使用这些产品的时候就已经发现一些bug,只需要进一步证明或利用就行了。比如我常用某音乐直播软件刷火箭,然后发现也有个类似的支付漏洞。
其次,很多功能点要去测的话需要满足一些前置条件,就像月神挖游戏漏洞需要先打怪升级开启新功能(羡慕想学)一样,这个支付漏洞也需要你先实名认证,上传证件照,好像还有人脸验证,还有就是我上面说的,先坚持签到一周多来获得500+X币,不然这个功能点是没办法去测的,渗透测试中类似的例子很多。
这里总结出第二条经验:挖洞需耐心,不能嫌麻烦,必须一步一步进行去达到测试目的,才有可能发现你想发现的漏洞。可能 有的时候 会想:这个点我留到最后去测,留着留着要么就是最后也没去测,要么就是洞没了,先一步被耐心的人捡走了。不过最多的情况是白挖,根本无漏洞。但实战中,因为耐心和细心,我确实捡了不少漏,不乏严重高危。若我们没有大佬的技术,那就只能靠耐心、细心。细心方面就不说了,比如看js,大家都懂得。
然后上一段中我有说过一句“洞先一步被耐心的人捡走了”,虽然这种情况很正常,但是希望大家不要有“这种功能点,这么简单明显的漏洞类型肯定早就被测过了吧”这种想法,如果有了这种想法,你对这个功能点的关注度会下意识的减少,可能简单测一下它有没有常规漏洞就pass过去了,没有认真去测,这样就可能造成错过漏洞。这种情况我自己就有过数次,悔之晚矣。
第一次发文,逻辑不太清晰,用词不太恰当,标题也不对味,希望大家谅解,将就看看。这篇文章目的是对新人分享下经验,大佬可略过这些废话QAQ。
最后,这篇文章暴露了一件事情,就是我从来没挖到过有技术含量的洞,还来水贴,实在惭愧。今后还需要各位大佬多发一些技术文章让我来学习高深的姿势,感激不尽!
本周六快手联合火线 举办线下「观火」白帽沙龙活动 ↓扫描二维码火速了解
【周度激励】
【相关精选文章】
【火线Zone】
火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火小表妹]免费加入~
我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!
欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!
本文始发于微信公众号(火线Zone):某贷款app的一个简单支付漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论