某贷款app的一个简单支付漏洞

01.漏洞描述

这个在刚入行的时候发现的，非常简单的漏洞，影响非常严重。

首先要登录这个app用签到和其他手段获取>500的X币

如图，当时我攒了大概一个多星期，960X币

02.展示过程 500X币可以兑换1块钱，结果是这样的

选择兑换1元，burp抓包

alipay就是支付宝账号，degreeid就是金额，把1改成6，发包

秒到账，无人工审核，而且后续测试发现，接口处写的日限5次无效，兑换大于我X币值的金额它扣不掉我的积分，就是说无条件无限兑换，每次请求也没有token之类的，可以批量，也就是我可以一天赚1000万。

03.结尾

这漏洞实在没啥好说的，是个会抓包的就能发现这漏洞，0技术含量。所以这里想说些其他的，算是挖洞经验吧。

就从这个漏洞说起，该app是国内较早的一批，非常知名的贷款软件，目前也还是风生水起的。假如你没有用网贷产品，你可能不会去注意这个东西，那自然是不会来测这个东西了。

这里就总结出第一条经验：善于观察自己常用的产品，因为常用，那它大部分功能点你应该会相对熟悉一些，测试也会高效一些，也可能使用这些产品的时候就已经发现一些bug，只需要进一步证明或利用就行了。比如我常用某音乐直播软件刷火箭，然后发现也有个类似的支付漏洞。

其次，很多功能点要去测的话需要满足一些前置条件，就像月神挖游戏漏洞需要先打怪升级开启新功能（羡慕想学）一样，这个支付漏洞也需要你先实名认证，上传证件照，好像还有人脸验证，还有就是我上面说的，先坚持签到一周多来获得500+X币，不然这个功能点是没办法去测的，渗透测试中类似的例子很多。

这里总结出第二条经验：挖洞需耐心，不能嫌麻烦，必须一步一步进行去达到测试目的，才有可能发现你想发现的漏洞。可能 有的时候 会想：这个点我留到最后去测，留着留着要么就是最后也没去测，要么就是洞没了，先一步被耐心的人捡走了。不过最多的情况是白挖，根本无漏洞。但实战中，因为耐心和细心，我确实捡了不少漏，不乏严重高危。若我们没有大佬的技术，那就只能靠耐心、细心。细心方面就不说了，比如看js，大家都懂得。

然后上一段中我有说过一句“洞先一步被耐心的人捡走了”，虽然这种情况很正常，但是希望大家不要有“这种功能点，这么简单明显的漏洞类型肯定早就被测过了吧”这种想法，如果有了这种想法，你对这个功能点的关注度会下意识地减少，可能简单测一下它有没有常规漏洞就pass过去了，没有认真去测，这样就可能造成错过漏洞。这种情况我自己就有过数次，悔之晚矣。

逻辑不太清晰，用词不太恰当，标题也不对味，希望大家谅解，将就看看。这篇文章目的是对新人分享下经验，大佬可略过这些废话QAQ。

对此你是怎么看的呢？欢迎在评论区下方讨论