日常逛资产,挑选到功能点相对多的小程序,业务是购买商品,有很多的支付漏洞包括逻辑漏洞可以测试。
测试到地址管理功能点下列是查看我自己的地址list 出现了地址的id号 13313 13314 不等,小程序功能点大多使用JWT鉴权,对JWT尝试了常见攻击手段均无法绕过。
/buyer/address/list/
测试小程序购买商品功能 正常选择收货地址,然后正常下单记录数据包。
buyer/product/retail/submitOrderPa接口记录的参数是商品的价格还有斤数,都是明文的信息 直接一手0元购测试没有效果都和后端做了校验。
但是注意看这里的addrId不就是对应了收货地址的id嘛,都是可以遍历的收货id 将它修改为其他地址的id 那么再生成订单是不是可以成功看到别人的地址呢,修改为12000,然后生成订单回到小程序看订单收货地址。
手机号是脱敏的手机号,提上去肯定是危害没那么大的, 不过一般都是前端脱敏的,可以强开F12看看源代码,因为在这个站测的比较久业务点也明白,利用一个查询订单号的接口就可以得到脱敏的信息,得到了别人的信息就可以利用其他的功能点扩展,这也是上文我也说的思路。
通过这两个创建订单接口和查询订单接口拿下全站收货地址包括二要素信息。
经典日常补天找项目打猎(捡垃圾),公司名直接微小程序,名称对大多不会搜错(这里翻车),功能点文创商品可以购买。
在支付界面打开BP拦截,拦截每一步请求找到决定价格的数据包。
看到totalFee 费用 直接修改totalFee字段总费用为10 也就是1分钱,放掉所有包直到出现扫码二维码。
小程序存在跑腿赚钱功能,用可以接单的骑手号去接一个没有被接单的订单, 记录接单的请求。
操作这个接口,替换订单号为任意的,跑腿者身份为别人的,可以任意指定谁去接谁的单,经过测试替换别人身份是可行的,订单号以及跑腿者的身份利用其他功能点的输出就可以得到。
文章出处:https://forum.butian.net/share/4229
原文始发于微信公众号(锐鉴安全):【漏洞挖掘】漏洞挖掘的细节干货文案
评论