扫码领资料
获黑客教程
免费&进群
金额任意修改,这类问题的出现多数是程序员的大意造成的,没有对异常数据进行很好的处理,导致了问题的产生
常见的绕过方法有:付款处金额修改,数量修改,改为负数
修复方案:
对关键参数进行完整的效验
检测的异常参数,直接报错,停止代码运行
对某网站测试
说实话,这个真的好贵,买不起
挑个便宜的测试
抓包,在底部输入金额368,burp会显示368的数字
经过测试,修改右边的金额,即可实现金额任意修改
测一下能不能把金额修改为负数,发现不行
既然不行,那就修改订单数量,当订单数量过大,会使程序崩溃,从而绕过,
订单数量直接改成999999999999999999999【总之很多9就是啦】
改成999.,发现报错
那就一个一个侧
修改这个,发现没有绕过
既然没有,在改另一个
也没有,那就是不存在,这就是支付漏洞常见的绕过方法
本文仅用于技术讨论,请勿用于违法途径
学习更多黑客技能!体验靶场实战练习
(黑客视频资料及工具)
往期推荐
黑客技能|我把熊猫烧香病毒扒了!
【外挂教程】Python 实现王者荣耀自动刷金币
常见未授权访问漏洞实用技巧
记一次和厂家相爱相杀的渗透测试
【功能全】自动化渗透工具箱-Ary(附下载 )
原文始发于微信公众号(白帽子左一):实战|某旅游网站存在金额任意修改
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论