漏洞思路:
很普通的思路,获取积分需要完成任务,当抓包到时候,发现任务参数都有个值,那么就可以遍历这个值去寻找隐藏任务,但我找到一个观看视频可以获取积分时,我以为是隐藏任务,其实本来就有这个任务,所以其实是突破观看视频30s的限制,无限获取积分,只要一直重放或者写脚本多次请求,就可以无限刷积分
漏洞复现:
一、详细说明
在获取积分界面,发现了隐藏的任务,即观看视频可获取10积分,该任务在任务列表是看不到的,在bp中对该接口进行重放,可不用观看视频即获取积分,无限制刷积分,积分可用于购买商品,实现0元购购买高价手机、高价手表
1、打开小程序
2、登入小程序,并点击签到处进入积分任务列表
3、点击去完成逛首页商城20秒
4、此时会跳转到首页,屏幕出现一个倒计时,bp开启抓包
5、等待倒计时结束,bp会抓到下图这个包
6、这个source参数就是任务的参数,对这个source的值进行遍历,查看是否有隐藏任务,最后找到了个观看视频就能获取积分的任务
7、此时我的积分是140
8、将参数值改为16,一直重放
9、重放五次,获取50积分
10、积分获取列表如下:
11、注意到网站可以利用积分进行0元购,只要一直重放或者并发或者爆破,可实现积分无限获取,最终0元购商城所有商品