严重!他来了!某商城无限刷积分严重漏洞

最新推荐文章于 2024-07-25 08:45:17 发布
最新推荐文章于 2024-07-25 08:45:17 发布
阅读量233 收藏
点赞数 5
文章标签: 网络安全 web安全 安全 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64557525/article/details/139532566
版权

漏洞思路:

很普通的思路,获取积分需要完成任务,当抓包到时候,发现任务参数都有个值,那么就可以遍历这个值去寻找隐藏任务,但我找到一个观看视频可以获取积分时,我以为是隐藏任务,其实本来就有这个任务,所以其实是突破观看视频30s的限制,无限获取积分,只要一直重放或者写脚本多次请求,就可以无限刷积分

漏洞复现:

一、详细说明

在获取积分界面,发现了隐藏的任务,即观看视频可获取10积分,该任务在任务列表是看不到的,在bp中对该接口进行重放,可不用观看视频即获取积分,无限制刷积分,积分可用于购买商品,实现0元购购买高价手机、高价手表

1、打开小程序

2、登入小程序,并点击签到处进入积分任务列表

3、点击去完成逛首页商城20

4、此时会跳转到首页,屏幕出现一个倒计时,bp开启抓包

5、等待倒计时结束,bp会抓到下图这个包

6、这个source参数就是任务的参数,对这个source的值进行遍历,查看是否有隐藏任务,最后找到了个观看视频就能获取积分的任务

7、此时我的积分是140

8、将参数值改为16,一直重放

9、重放五次,获取50积分

10、积分获取列表如下:

11、注意到网站可以利用积分进行0元购,只要一直重放或者并发或者爆破,可实现积分无限获取,最终0元购商城所有商品

ashuihhh
关注
Java高级工程师面试题整理
喜欢猪猪
06-11 6544
面试题: HashMap底层实现原理,红黑树,B+树,B树的结构原理,volatile关键字,CAS(比较与交换)实现原理 Spring的AOP和IOC是什么?使用场景有哪些?Spring事务,事务的属性,传播行为,数据库隔离级别 Spring和SpringMVC,MyBatis以及SpringBoot的注解分别有哪些?SpringMVC的工作原理,SpringBoot框架的优点,MyBatis框架的优点 SpringCould组件有哪些,他们的作用是什么?(说七八个)微服务的CAP是什么?B.
常用面试题
qq_40256408的博客
05-06 562
面试题: HashMap底层实现原理,红黑树,B+树,B树的结构原理,volatile关键字,CAS(比较与交换)实现原理 Spring的AOP和IOC是什么?使用场景有哪些?Spring事务,事务的属性,传播行为,数据库隔离级别 Spring和SpringMVC,MyBatis以及SpringBoot的注解分别有哪些?SpringMVC的工作原理,SpringBoot框架的优点,MyBatis框...
CSDN积分获取方法
wosnbb1234的博客
12-25 1280
6、每发布一篇原创或者翻译文章:可获得10分:(这里就可以看出社区对原创的奖励有多大了,不过大家须小心的是社区有相应的抄袭举报功能,一旦举报证实某篇原创文章抄袭,将扣除博主该篇文章相应的得分)3.3 浏览社区的文章,发表一次评论可以获取可获得1分:(需要注意的是自己给自己评论、博主回复别人对自己博文的评论不获得积分);7、每发表一次评论:可获得1分:(自己给自己评论、博主回复别人对自己博文的评论不获得积分);8、文章被投票:顶1票加1分,踩1票减1分;5、博主的文章每被评论一次:可获得1分;
csdn积分怎么获取
Qiyuan77的博客
01-20 1996
以上信息综合自多个来源,以确保准确性和完整性。
CSDN怎么获取积分
最新发布
a876106354的博客
07-25 1179
上传有效资源可以获得积分,如果上传的是非法或广告资源,可能会被扣除积分严重者可能会被封号。上传自己设定分值的资源被下载,可以获得下载量乘以资源分的积分,但有 100 分的上限。如果上传的是 0 分资源,下载量乘以系统奖励的 1 分,同样有 100 分的上限 8。:博主的文章每被评论一次,可获得 1 分;:发表评论可以获得积分,但自己给自己评论或博主回复别人对自己博文的评论不会获得积分 810。:每篇博文阅读次数每超过 100 次,可获得 1 分,阅读加分最高加到 100 分 810。
CSDN积分获取
m0_51685685的博客
05-17 3906
同时,积分也可以提高您在CSDN社区中的等级和声望,让更多的人认识和关注您。您可以在CSDN社区中积极参与互动和分享文章,获得积分奖励。请注意,不同网站或平台的积分获取细则可能不同,以上仅为一般性的细则。邀请好友注册CSDN账号并完成一定的互动活动,即可获得积分奖励。参加CSDN组织的线上或线下活动,获得积分奖励。
CSDN积分获取方法.docx
05-09
CSDN积分获取方法
100种活动促销方案
weixin_38172174的博客
03-29 1344
点滴分享—共同进步目录100种促销方案价格,永远的促销利器以人为本的促销艺术热情,燃起永不言败的销售激情广告,引起轰动的促销捷径节假日,黄金时间的攒“金”技巧主题,无中生有的促销魔法店员,所向披靡的促销利剑服务,锁定客户的促销方式留住客户的技巧客户类型及应对技巧一个一流销售人员必备的条件菲儿人格测试——看一个真实的你P:1-20页100种促销方案第一章价格——永远的促销利器第一节价格折扣方案1.错觉折价——给顾客不一样的感觉方案2.一刻干金——让顾客蜂拥而至方案3.超值一元——舍小取大的促销策略方案4.临界
曼昆经济学原理_第五版[1].txt.doc
热门推荐
西_北
03-23 2万+
第一章经济学十大原理 在本章中你将—— 知道经济学研究稀缺性资源配置 考察人们面临的一些交替关系 知道机会成本的含义 懂得在作出决策时如何运用边际推理 讨论激励如何影响人们的行为 考虑为什么人们或国家之间的交易可以使各方面受益 -9 经济学原理第五版  讨论为什么市场是一种良好的、但并不是完善的资源配置方式 了解是什么因
PHP 面试知识点整理归纳
PHP学习日志——地雷
09-05 1万+
全文已整理补充完毕,以后还会继续更新文章里面的错误,以及补充尚不完善的问题。 该篇文章是针对Github上wudi/PHP-Interview-Best-Practices-in-China资源的答案个人整理 lz也是初学者,以下知识点均为自己整理且保持不断更新,也希望各路大神多多指点,若发现错误或有补充,可直接comment,lz时刻关注着。 由于内容比较多,没有直接目录,请自行对照 Gi...
CSDN积分如何才能获得
zhanbo1988的博客
03-15 1089
每篇博文阅读次数超过100次:每篇文章阅读超过100次,你可以获得1分,但阅读加分最高不超过100分。上传有效资源:如果你上传的是有效的资源,被下载后,根据下载量可以得到相应的积分。博主文章被评论:每次有人对你的博文进行评论,你可以获得1分。发布原创或翻译文章:每发布一篇可以获得10分。评论被管理员或博主删除:相应的积分也会被扣除。文章被投票:每顶1票加1分,每踩1票减1分。文章被管理员或博主删除:相应的积分会被扣除。发表评论:每次发表评论,你可以获得1分。发布转载文章:每发布一篇可以获得2分。
CSDN积分如何获得
m0_56507273的博客
01-19 834
csdn积分怎么搞积分的获取主要有以下几种方式:
【CSDN积分获取方法
lake501的博客
11-29 71
官方博客网址如下:https://blog.csdn.net/blogdevteam/article/details/103478461。
转载:CSDN积分获取方法
xy的博客
07-23 1925
6、每发布一篇原创或者翻译文章:可获得10分:(这里就可以看出社区对原创的奖励有多大了,不过大家须小心的是社区有相应的抄袭举报功能,一旦举报证实某篇原创文章抄袭,将扣除博主该篇文章相应的得分)3.3 浏览社区的文章,发表一次评论可以获取可获得1分:(需要注意的是自己给自己评论、博主回复别人对自己博文的评论不获得积分);7、每发表一次评论:可获得1分:(自己给自己评论、博主回复别人对自己博文的评论不获得积分);8、文章被投票:顶1票加1分,踩1票减1分;5、博主的文章每被评论一次:可获得1分;
获取CSDN积分方法
m0_62969212的博客
04-06 207
对待评论资源进行评论,评论真实有效,审核通过后返还下载时所消耗的积分。· 对待评论资源进行评分,评分后系统自动返还1分。1. 个人设置里进行手机绑定CSDN账户奖励50分。6. 举报违规资源,管理员确认后奖励20下载积分。5. 论坛可用分可以兑换下载分。2. 上传有效资源获取积分。3. 评论资源获取积分。4. 成为VIP会员。
如何获取积分
SHERREN的博客
04-27 786
(开发者社区)上,获取积分的主要方法包括:12。
bind 9 遭遇严重安全威胁:利用更新包引发崩溃
标题:“bind 9 严重漏洞利用代码地址”涉及到一个与BIND(Berkeley Internet Name Domain)9服务器相关的安全问题。BIND是DNS(Domain Name System,域名系统)服务的主要实现之一,它负责将域名解析为IP地址。这里...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值