免责声明
❝
由于传播、利用本公众号"隼目安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"隼目安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢!
该漏洞已经向相关单位与平台进行报告,本文中图片、内容等均已脱敏!!!
闲来无事还是挖洞逻辑,这篇就浅码罢,逻辑漏洞在小程序这块很多比较偏的资产都存在支付逻辑,一般分为两种情况,一种是在创建订单时有一个金额值,另一种就是在支付时有这么一个值了,这期来俩例子罢
首先第一个案例是某医院护理上门的小程序
首先进入小程序可以看见有很多项目(这里我们已经完成了相关的注册等流程)
这里做演示就随便选择一项并预约
这里这个小程序做了地区限制,所以我们需要填写这个单位附近的地址,这里我们打开burp然后提交订单
这里拦截包有一个
"totalFee": "24.00"我们将数值改成0.00后放包,到订单页查看一下
可以看见成功了,这种到院付没什么危害,但是思路可以用,提交订单时抓就行
我们来看第二个案例,某旅游公司的
这里随便选一个项目预定
这里我们确定好项目之后直接下一步
好了,这里可以看见是生成订单的位置了,我们开启burp
通过搜索数值,我们可以大胆猜测这就是他的金额值,直接改成1
直接大功告成
这种就是创建订单的时候去改了,没啥好说的
没东西写了,师傅们快来投稿
由于QQ群还有微信群添加都太麻烦了,所以建了个QQ频道,刚建没啥东西,师傅们可以进来分享点资源之类的,百度网盘几个群暂时也满了,师傅们也可以在频道发点投稿文章,谢谢
往期推荐
某知名公众号博主公然开盒
【相关分享】酷酷免杀之AI免杀
【相关分享】DeepSeek本地化部署有风险!快来看看你中招了吗?
(刘农tv)红岸基地逆天卖课哥再次复出圈钱,习题笑传之查筹币
【相关分享】记两份逻辑漏洞(重码)
原文始发于微信公众号(隼目安全):【相关分享】两次小程序逻辑案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论