基本介绍
在交易支付类型的业务中最常见的业务漏洞就是修改商品金额,例如在生成商品订 单、跳转支付页面时,修改HTTP请求中的金额参数,可以实现1分买充值卡、1元买特斯拉等操作,此类攻击很难从流量中匹配识别出来,通常只有在事后财务结算时发现大额账务问题才会被发现,此时攻击者可能已经通过该漏洞获得了大量利益,如果金额较 小或财务审核不严,攻击者则可能细水长流,从中获得持续的利益,事后发现此类漏洞 就大大增加了追责的难度和成本
测试过程
攻击者提交订单时,抓包篡改商品编号,导致商品与价格不对应但却交易成功并从价格差中获利:
简易案例
Step 1:登录某积分商城http://xxxxx.com.cn/club/index.php?m=goods&c=lists
Step 2:列出积分换商品先挑选出我想要的礼物,例如:商品编号为goods_id=1419f75d406811e3ae7601beb44c5ff7