【SRC实战】无限获取优惠码

挖个洞先
https://mp.weixin.qq.com/s/HgMK4S8275VvFVbnSp6Qsw

“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”

01

漏洞证明

“ 获取优惠码有次数限制的情况下,如何绕过?”

1、新用户专属福利,免费领100元优惠码
在这里插入图片描述

2、输入手机号,获取验证码
在这里插入图片描述

3、burp抓包,点击免费领取优惠码,多次重放数据包,注意此处activityId默认值为248
在这里插入图片描述

4、优惠码以短信的形式发送,查看短信获取30+优惠码,每个优惠码都不一样
在这里插入图片描述

5、一段时间后,再次领取,提示“该账户已领取过,请勿重复领取”
在这里插入图片描述

6、修改第三步activityId为任意数字,此处修改为200,即可绕过限制
在这里插入图片描述

7、提示“验证码发送中”
在这里插入图片描述

8、查看短信又可以收到优惠码,重复以上步骤即可无限次获取优惠码
在这里插入图片描述

9、经测试,该系统还有另一个优惠码接口,也存在相同的漏洞
在这里插入图片描述

02

漏洞危害

1、无限次领取优惠码,利用漏洞薅羊毛

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值