01.漏洞描述
这个在刚入行的时候发现的,非常简单的漏洞,影响非常严重。
首先要登录这个app用签到和其他手段获取>500的X币
如图,当时我攒了大概一个多星期,960X币
02.展示过程 500X币可以兑换1块钱,结果是这样的
选择兑换1元,burp抓包
alipay就是支付宝账号,degreeid就是金额,把1改成6,发包
秒到账,无人工审核,而且后续测试发现,接口处写的日限5次无效,兑换大于我X币值的金额它扣不掉我的积分,就是说无条件无限兑换,每次请求也没有token之类的,可以批量,也就是我可以一天赚1000万。
03.结尾
这漏洞实在没啥好说的,是个会抓包的就能发现这漏洞,0技术含量。所以这里想说些其他的,算是挖洞经验吧。
就从这个漏洞说起,该app是国内较早的一批,非常知名的贷款软件,目前也还是风生水起的。假如你没有用网贷产品,你可能不会去注意这个东西,那自然是不会来测这个东西了。
这里就总结出第一条经验:善于观察自己常用的产品,因为常用,那它大部分功能点你应该会相对熟悉一些,测试也会高效一些,也可能使用这些产品的时候就已经发现一些bug,只需要进一步证明或利用就行了。比如我常用某音乐直播软件刷火箭,然后发现也有个类似的支付漏洞。
其次,很多功能点要去测的话需要满足一些前置条件,就像月神挖游戏漏洞需要先打怪升级开启新功能(羡慕想学)一样,这个支付漏洞也需要你先实名认证,上传证件照,好像还有人脸验证,还有就是我上面说的,先坚持签到一周多来获得500+X币,不然这个功能点是没办法去测的,渗透测试中类似的例子很多。
这里总结出第二条经验:挖洞需耐心,不能嫌麻烦,必须一步一步进行去达到测试目的,才有可能发现你想发现的漏洞。可能 有的时候 会想:这个点我留到最后去测,留着留着要么就是最后也没去测,要么就是洞没了,先一步被耐心的人捡走了。不过最多的情况是白挖,根本无漏洞。但实战中,因为耐心和细心,我确实捡了不少漏,不乏严重高危。若我们没有大佬的技术,那就只能靠耐心、细心。细心方面就不说了,比如看js,大家都懂得。
然后上一段中我有说过一句“洞先一步被耐心的人捡走了”,虽然这种情况很正常,但是希望大家不要有“这种功能点,这么简单明显的漏洞类型肯定早就被测过了吧”这种想法,如果有了这种想法,你对这个功能点的关注度会下意识地减少,可能简单测一下它有没有常规漏洞就pass过去了,没有认真去测,这样就可能造成错过漏洞。这种情况我自己就有过数次,悔之晚矣。
对此你是怎么看的呢?欢迎在评论区下方讨论
934
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
