【SRC实战】无法支付的修改金额支付漏洞

最新推荐文章于 2024-05-21 14:27:58 发布
最新推荐文章于 2024-05-21 14:27:58 发布
阅读量171 收藏 3
点赞数 7
分类专栏: SRC实战 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45196785/article/details/138745846
版权

挖个洞先
https://mp.weixin.qq.com/s/F4f8R4uKN0Q9BnTmjDMleg

“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”

01

漏洞证明

一、企业用户,标准商品

“ 支付订单需要公对公银行卡转账,如何绕过?”

1、点击任意商品
在这里插入图片描述

2、确认并支付
在这里插入图片描述

3、修改请求包,sellNum商品数量=100,orderAmount订单金额=1
在这里插入图片描述

4、查看订单金额为1元
在这里插入图片描述

5、查看合同,设备数量为100台
在这里插入图片描述

二、企业用户,项目专区

“ 支付订单需要公对公银行卡转账,如何绕过?”

1、点击任意项目
在这里插入图片描述

2、确认并支付
在这里插入图片描述

3、修改请求包,orderAmount订单金额=1,paymoneyCap商品价格=壹万柒仟陆佰元整,sellNum商品数量=1000
在这里插入图片描述

4、查看订单金额为1元
在这里插入图片描述

三、普通用户

“ 同一个系统不同权限用户支付有没有可能是同一个接口? ”

1、来到普通用户,存在类似的商品
在这里插入图片描述

2、确认并支付,发现多出来一个签字功能
在这里插入图片描述

3、电脑端微信小程序不支持canvas库无法签字,所以此处使用真机测试,发现为同一个支付接口,修改请求包,sellNum商品数量=1000,orderAmount订单金额=1
在这里插入图片描述

4、支付成功
在这里插入图片描述

5、查看订单,使用1元购买了1660x1000=1660000元的设备
在这里插入图片描述

02

漏洞危害

1、任意修改商品数量,支付金额,导致支付漏洞,造成重大资金损失

挖个洞先
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
src支付漏洞挖掘(去年)
10-22
src支付漏洞挖掘(去年) 某src支付漏洞挖掘(去年) 某src支付漏洞挖掘(去年)
SRC实战修改赠送金额支付漏洞
qq_45196785的博客
05-13 293
1、充值30元赠送1.9元礼包,充值100元赠送7元礼包,充值500元赠送57.5元礼包。1、支付漏洞触发风控,赠送金额实际上无法到账,但由于是核心系统核心业务,所以还是给了低危。4、请求包中充值金额与现金比为100:1,发现页面显示为“充值0.01赠金7000元”3、选择100元套餐,burp抓包,修改amt充值金额为1,zsAmt赠送金额为。2、充值任意金额突破最小充值金额限制,给财务系统造成混乱,影响企业财务管理。2、点击更多充值档位,可以看到系统最低充值金额为30元。5、微信支付,充值成功。
SRC | 逻辑漏洞原理及实战
不知名白帽的博客
07-23 1607
src之逻辑漏洞
SRC众测挖洞之支付逻辑漏洞的奇淫技巧
道阻且长,行则将至。
05-29 6091
文章目录前言巧用支付页面低价签约漏洞低价会员升级循环利用优惠券并发请求测试并发领取奖品并发多次签到并发转账提现其他支付漏洞异常支付金额金额数量溢出更多逻辑漏洞总结 前言 最近闲余时间开始在 SRC 应急响应平台和 补天、火线、漏洞盒子 等第三方漏洞平台挖掘漏洞赚点外快,一开始还算运气好尝到了一点小甜头: 但是面对 SRC 这类可能被几百名白帽子同时挖掘过的系统,想要持续挖掘到遗漏的漏洞难面显得十分吃力、甚至说黔驴技穷了…… 但是发现正是这种“手足无措”的处境,才会让自己去加深一些曾经自认为“熟悉”的漏洞
网络安全 - 实战篇 [SRC初探]手持新手卡挖SRC逻辑漏洞心得分享
Coisini的博客
05-30 7550
***本文适合新手参阅,大牛笑笑就好了,嘿嘿 末尾有彩蛋!!!!!!!!!!!!!!!!! 本人参加了本次"i春秋部落守卫者联盟"活动,由于经验不足,首次挖SRC,排名不是那么理想,终于知道了自己的白帽子挖洞的道路还漫长的很,老司机岂非一日一年能炼成的。 本文多处引用了 YSRC 的 公(qi)开(yin)漏(ji)洞(qiao)。 挖SRC思路一定要广!!!! 漏洞不会仅限于SQL注入、命令执行...
SRC漏洞挖掘实战经验总结
10-28
最近几年总结收集的SRC漏洞挖掘实战经验,希望对你有帮助。
4舍5入的支付漏洞4舍5入的支付漏洞
10-07
在企业src里面支付业务肯定是必不可少的,那么有业务肯定就有漏洞,今天就来讲一下 我们用余额充值为例,余额都是保留到分(也就是0.00)当然有些区块链的网站可能会更精确 那么如果我们充值0.001会怎么样呢,那么开发...
国内SRC漏洞挖掘经验和技巧分享.pdf
09-10
国内SRC漏洞挖掘经验和技巧分享.pdf
国内SRC漏洞挖掘技巧与经验分享
02-01
国内SRC漏洞挖掘技巧与经验分享 包括:信息收集、字典生成、业务安全、APP测试等内容
前端基础入门三大核心之网络安全篇:TLS/SSL的魔法之旅
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 786
TLS/SSL,这个看似复杂的协议,实际上正默默地守护着我们每一次的在线交互。作为前端开发者,理解其工作原理并在日常开发中实践安全最佳实践,是我们每个人的职责。现在,当你再次看到地址栏那个绿色的小锁图标时,是不是觉得它更加亲切了呢?关于TLS/SSL,你还有哪些独到的见解或实战经历?欢迎在评论区留言,让我们共同探讨,携手营造一个更安全的网络环境。欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 857
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
网络安全(黑客)—-2024自学手册
xv7676的博客
05-18 1119
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
SSL协议:网络安全通信的守护者
jiamisoft的博客
05-21 423
SSL协议最初由网景公司开发,旨在解决HTTP协议传输过程中的安全问题。SSL通过在传输层和应用层之间增加一个安全层,为网络通信提供了加密、身份验证和数据完整性保护。
计算机专业毕业设计范例845篇jsp2118基于Web停车场管理系统的设计与实现_Servlet_MySql演示录像.rar
05-24
博主给大家详细整理了计算机毕业设计最新项目,对项目有任何疑问(部署跟文档),都可以问博主哦~ 一、JavaWeb管理系统毕设项目【计算机毕设选题】计算机毕业设计选题,500个热门选题推荐,更多作品展示 计算机毕业设计|PHP毕业设计|JSP毕业程序设计|Android毕业设计|Python设计论文|微信小程序设计
Windows 10 平台 FFmpeg 开发环境搭建 博客资源
05-24
【FFmpeg】Windows 10 平台 FFmpeg 开发环境搭建 ④ ( FFmpeg 开发库内容说明 | 创建并配置 FFmpeg 项目 | 拷贝 DLL 动态库到 SysWOW64 目录 ) https://hanshuliang.blog.csdn.net/article/details/139172564 博客资源 一、FFmpeg 开发库 1、FFmpeg 开发库编译 2、FFmpeg 开发库内容说明 二、创建并配置 FFmpeg 项目 1、拷贝 dll 动态库到 C:\Windows\SysWOW64 目录 - 必须操作 特别关注 2、创建 Qt 项目 - C 语言程序 3、配置 FFmpeg 开发库 - C 语言项目 4、创建并配置 FFmpeg 开发库 - C++ 项目
基于 Spring Cloud 、Spring Boot、 OAuth2 的 RBAC 企业快速开发平台
最新发布
05-24
基于 Spring Cloud 、Spring Boot、 OAuth2 的 RBAC 企业快速开发平台, 同时支持微服务架构和单体架构。提供对 Spring Authorization Server 生产级实践,支持多种安全授权模式。提供对常见容器化方案支持 Kubernetes、Rancher2 、Kubesphere、EDAS、SAE 支持
我赚100万的商业模式.pdf
05-24
我赚100万的商业模式
Python_编译器学习资源收集.zip
05-24
Python_编译器学习资源收集
企业src漏洞挖掘实战
05-24
企业SRC漏洞挖掘实战是指在企业级应用程序中寻找安全漏洞,并提供相应的修复方案。以下是一些实战技巧: 1. 了解应用程序:深入了解应用程序的结构和功能,对其进行分析,有助于找到潜在的安全漏洞。 2. 审计代码:对应用程序代码进行审计,从中发现漏洞并提供相应的修复方案。 3. 使用漏洞扫描工具:使用漏洞扫描工具对应用程序进行扫描,发现已知的漏洞。 4. 渗透测试:通过模拟黑客攻击,测试应用程序的安全性能,找到漏洞并提供相应的修复方案。 5. 利用社区资源:参加各种安全社区,分享和获取安全漏洞发现的经验和技巧,从而提高自己的安全水平。 6. 研究已知的漏洞:研究已知的漏洞,学习攻击者的技术和方法,从而更好地防范未知的漏洞。 总之,企业SRC漏洞挖掘实战需要具备一定的技术实力和经验,并且需要持续学习和研究新的技术和漏洞,才能更好地保障企业的信息安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值