【SRC实战】遍历手机号给全站用户发放优惠券

最新推荐文章于 2024-05-12 09:55:02 发布
最新推荐文章于 2024-05-12 09:55:02 发布
阅读量301 收藏
点赞数 5
分类专栏: SRC实战 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45196785/article/details/138661229
版权

挖个洞先
https://mp.weixin.qq.com/s/m8ULZ52p1q_mKrCRnaI_7A

“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”

01

漏洞证明

一、遍历手机号

“ 没有验证码二次校验的漏洞如何扩大危害?”

1、输入手机号码,领取优惠券场景

在这里插入图片描述

2、先输入手机号A,发现没有验证码等二次校验,页面显示领取成功
在这里插入图片描述

3、回到APP查看优惠券已到账
在这里插入图片描述

4、再输入手机号B,手机号C,都没有验证码二次校验,直接领取并且成功到账,均为满1元可用优惠券

在这里插入图片描述

二、并发领取优惠券

“ 签到领取1张优惠券场景,如何领取多张优惠券?”

1、签到领取优惠券场景

在这里插入图片描述

2、签到1天可领取1张2元无门槛优惠券
在这里插入图片描述

3、并发领取优惠券数据包,到账多张优惠券
在这里插入图片描述

4、经测试,签到处所有天数均存在并发领取多张优惠券漏洞
在这里插入图片描述

02

漏洞危害

1、遍历手机号给全站用户发放21元无门槛优惠券

2、并发领取多张优惠券

挖个洞先
关注
专栏目录
【华为OD机试】二叉树的广度优先遍历(二叉树的构建和层次遍历—Java&Python&C++&JS实现)
一键难忘的博客
02-25 3306
【华为OD机试】二叉树的广度优先遍历(二叉树的构建和层次遍历—Java&Python&C++&JS实现) 有一棵二叉树,每个节点由一个大写字母标识(最多26个节点)。现有两组字母,分别表示后序遍历(左孩子->右孩子->父节点)和中序遍历(左孩子->父节点->右孩子)的结果,请输出层次遍历的结果。 输入描述: 输入为两个字符串,分别是二叉树的后续遍历和中序遍历结果。 输出描述: 输出二叉树的层次遍历结果。
二叉树三种遍历(动态图+代码深入理解)
热门推荐
流楚丶格念的博客
04-29 3万+
文章目录一、图示理解(图片是一位前辈所留,在此感谢)1、先序遍历2、中序遍历3、后序遍历4、层序遍历二、深入理解三种遍历让我们来理解一下绕着外围跑一整圈的真正含义是:遍历所有结点时,都先往左孩子走,再往右孩子走。下面做一个实例吧三、代码实现加以理解以下是C语言全部代码实现下面是同样的例子用c++实现,大家可以参考一下 一、图示理解(图片是一位前辈所留,在此感谢) 1、先序遍历 先序遍历可以想象成,...
SRC实战】无限领取优惠券
最新发布
qq_45196785的博客
05-12 616
5、为了证明优惠券可用,购买多个商品,存在多个优惠券抵扣订单。2、burp抓包,重放显示“存在未使用优惠券,请先使用!“ 只能领取1张优惠券场景,能不能无限次领取?“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”3、使用优惠券购买任意商品,只提交订单不付款。4、再次重放第二步领取优惠券数据包,成功领取。6、再次领取,再次下单,仍然可以使用优惠券。1、点击领取1张满999元减80元优惠券。2、退款到账多张优惠券,利用漏洞薅羊毛。1、无限次领取优惠券,利用漏洞薅羊毛。
java遍历输出手机号
m0_71088505的博客
09-18 460
查询手机号
手机号空号批量检测接口
Named1ess
02-17 1787
手机号空号批量检测接口
2021-08-20
m0_56063822的博客
08-20 1352
通过QQ号获取绑定的手机号 导语 偶有奇想,我们可以通过手机号来搜索获取其对应的QQ号,那么,反过来呢? 一.缩小范围 由于手机号属于隐私数据,腾讯QQ并没有直接给出通过QQ号查找对应手机号的接口。 国内的手机号有十一位数字,从数学的角度上来说,包含了1011种可能。如果遍历这1011个数据,通过QQ中手机号查找QQ号的接口来寻找,未免太过费时费力,根据网上查到的资料,同一个QQ号,在十分钟内只能进行30次查询(未验证)。因此,直接遍历的方法不现实。 在这10^13个数据中,包含着大量的可去除的无用数据。我
mysql表的遍历_MySQL 全表遍历
weixin_39772388的博客
01-18 2969
今天做一个业务需求的逻辑处理,需要对MySQL全表进行遍历,数据规模百万级别,为方便描述,这张表就用 a 来代替吧结合自己的思路和一些资料,在这里记录一下方案的进化史一、直接遍历拿出所有的数据select * from a ;这个肯定不用多说了,估计还没拿完,内存就爆了,对这种数量级的表不现实二、分页式循环遍历select * from a limit 0,1000;select * from a...
第43讲:Python并行循环遍历序列的实现方法
江晓龙的博客
05-11 1万+
zip函数可以将多个序列进行压缩重组生成一个zip对象,zip函数会将相同索引的元素压缩到一个元组中,每个元组充当一个列表中的元素,我们可以去遍历这个zip对象,利用元组的多变量复制的形式,实现并行遍历输出数据的场景。姓名、年龄、专业这三个数据的索引号都是相同的,也就是说列表中索引相同的元素会组成一条数据,既然索引相同的元素可以组成一条数据,那我们就可以根据索引号去遍历。实现这样的需求时,需要保证每个列表的数据是一一对应的,也就是说姓名、年龄、专业这三个数据的索引一定要保证是相同的,否则就会造成数据错乱。
第44讲: Python使用map和filter函数遍历可迭代对象
江晓龙的博客
05-12 1万+
我们可以指定方法str.isalpha,利用map和filter函数对可迭代对象中的元素进行处理,当元素都是字母时,才会返回True,否则就是False,filter函数会过滤掉返回值为Flase的元素。调用内置函数filter后,会使用指定的函数对指定的可迭代对象中的每个元素,进行遍历处理,然后过滤掉函数处理结果为False的元素,生成一个新的可迭代对象。结果如下,map函数根据我们指定的ord函数,对指定的可迭代对象字符串中所有的字符元素都进行了处理,然后使用list函数将其转换成列表。
java遍历手机号的代码_Java遍历日期代码 - osc_qv0je9a6的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_29510921的博客
03-02 110
import java.util.ArrayList;import java.util.List;public class DateTraveller {public static List getDateList(String startDateString, String endDateString) {List dateList = new ArrayList();// start date...
遍历vcf文件获取电话号码
网络自留地
06-09 392
      前几天我朋友诺基亚的手机屏坏了,不知道送到哪去修了,反正还没修好,但是把联系人信息弄回来了,一个文件家,全部是vcf格式的文件,一个一个的。想把这些联系人存到一个暂时用的手机里。杯具的事情发生了,不知道怎么弄。         当然我也不知道怎么弄,最后我说那要不把这些号码在一张纸上打印出来吧,凑活着用用。         那我们身为程序员,肯定弄一个程序解决了,自己手动操作不...
微信小程序 获取手机号码详解
weixin_38984353的博客
05-28 1万+
小程序中有很多地方都会用到注册用户信息的地方,用户需要填写手机号等,      有了这个组件可以快速获取微信绑定手机号码,无须用户填写。1.getPhoneNumber这个组件通过button来实现(别的标签无效)。将button中的open-type=“getPhoneNumber”,并且绑定bindgetphonenumber事件获取回调。<button open-type="getPh...
各国手机号前缀 解决及遍历
Thekingyu的博客
04-25 5185
div class="phone_table" id="phone_table" style="font-size: 0.14rem" > div v-for="(val,key) in list"> div> {{key}} div v-for="z in val"> {{z[0]}} span @click="dian(z[1
获取手机联系人信息(姓名 电话号码)
月清空的博客
11-17 1万+
手机的联系人信息,存放的位置分为两种。一种存放在手机内存里面,一种是存放在sim卡里面。 他们的访问方式都相似,都是把电话号码和联系人姓名是分开存放在数据库中的,只是访问的uri不同。 本文主要讲的是获取手机内存上的联系人信息。 联系人的姓名和电话号码是分开存放在sqlite数据库中的,我们把.db文件导出来,打开看看。 1.这是联系人信息: 2.电话号码信息: 表
java遍历手机号的代码_Java遍历的实现方法介绍(代码示例)
weixin_39911066的博客
03-02 633
详细内容本篇文章给大家带来的内容是关于Java遍历的实现方法介绍(代码示例)有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。package com.zlh;import java.util.ArrayList;import java.util.HashMap;import java.util.Iterator;import java.util.Map;import java.util...
Python之遍历文件并统计手机号
FlyTester的博客
11-02 1967
Pyhton之遍历文件并统计手机号 需求: 1.文件夹A下有子文件夹,层级不定,需要对其进行遍历,统计文件数量 2.抓取每个文件中的手机号 3.将统计到的手机号写入txt,文件总数、含手机号的文件数写入日志   说明:这个需求已经分步讲解过,感兴趣的可以了解,分为了 1.python之遍历文件夹 http://blog.csdn.net/clean_water/article/de
vue 遍历数组 中 领导手机号加密
qq_39510798的博客
07-26 917
1.写在获取通讯录列表中  
优惠券有效期检查与管理
i++)`遍历用户的所有优惠券,逐个检查其有效期。 8. **异常处理**: - `throws ParseException`表明可能会抛出日期解析异常,需要在方法签名中声明。 综上,这段代码实现了从数据库获取用户的所有优惠券,判断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值