【相关分享】两次小程序逻辑案例

admin 2025年3月21日00:39:51评论4 views字数 824阅读2分44秒阅读模式

免责声明

由于传播、利用本公众号"隼目安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"隼目安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢!

该漏洞已经向相关单位与平台进行报告,本文中图片、内容等均已脱敏!!!

闲来无事还是挖洞逻辑,这篇就浅码罢,逻辑漏洞在小程序这块很多比较偏的资产都存在支付逻辑,一般分为两种情况,一种是在创建订单时有一个金额值,另一种就是在支付时有这么一个值了,这期来俩例子罢

【相关分享】两次小程序逻辑案例

首先第一个案例是某医院护理上门的小程序

首先进入小程序可以看见有很多项目(这里我们已经完成了相关的注册等流程)

【相关分享】两次小程序逻辑案例

这里做演示就随便选择一项并预约

【相关分享】两次小程序逻辑案例

这里这个小程序做了地区限制,所以我们需要填写这个单位附近的地址,这里我们打开burp然后提交订单

【相关分享】两次小程序逻辑案例

这里拦截包有一个

"totalFee""24.00"

我们将数值改成0.00后放包,到订单页查看一下

【相关分享】两次小程序逻辑案例

可以看见成功了,这种到院付没什么危害,但是思路可以用,提交订单时抓就行

我们来看第二个案例,某旅游公司的

这里随便选一个项目预定

【相关分享】两次小程序逻辑案例
【相关分享】两次小程序逻辑案例

这里我们确定好项目之后直接下一步

【相关分享】两次小程序逻辑案例

好了,这里可以看见是生成订单的位置了,我们开启burp

【相关分享】两次小程序逻辑案例

通过搜索数值,我们可以大胆猜测这就是他的金额值,直接改成1

【相关分享】两次小程序逻辑案例

直接大功告成

【相关分享】两次小程序逻辑案例

这种就是创建订单的时候去改了,没啥好说的

【相关分享】两次小程序逻辑案例

没东西写了,师傅们快来投稿

由于QQ群还有微信群添加都太麻烦了,所以建了个QQ频道,刚建没啥东西,师傅们可以进来分享点资源之类的,百度网盘几个群暂时也满了,师傅们也可以在频道发点投稿文章,谢谢

【相关分享】两次小程序逻辑案例

【相关分享】两次小程序逻辑案例
【相关分享】两次小程序逻辑案例

往期推荐

某知名公众号博主公然开盒

【相关分享】酷酷免杀之AI免杀

【相关分享】DeepSeek本地化部署有风险!快来看看你中招了吗?

(刘农tv)红岸基地逆天卖课哥再次复出圈钱,习题笑传之查筹币

【相关分享】记两份逻辑漏洞(重码)

文稿 | x8i
制作 | x8i
审发 | 隼目安全

原文始发于微信公众号(隼目安全):【相关分享】两次小程序逻辑案例

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月21日00:39:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【相关分享】两次小程序逻辑案例https://cn-sec.com/archives/3863057.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息