挖个洞先
https://mp.weixin.qq.com/s/HIUnUNTWdfxkfU-wN9ImFA
“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”
01
—
漏洞证明
1、手机收到短信问卷调查,完成赠送20金币,金币:现金=100:1
2、金币数量为0
3、提交问卷
4、金币数量为20
5、将问卷id参数paperId加一,重放请求包
6、金币数量为40
7、查看明细为满意度调研发放了两次,20x2=40金币
02
—
漏洞危害
1、经济损失:此漏洞允许用户通过重放修改过的请求来重复获取奖励,这会对系统的经济模型产生影响。长期来看,如果大量用户利用这一点,平台可能会遭受重大的财务损失,尤其是当金币可以兑换为现金、商品或服务时。此外,它还会导致虚拟货币供应的膨胀,进而影响平台的运营和财务健康。
2、公平性受损:这种漏洞破坏了用户之间的公平性原则。诚实的用户,他们不利用系统漏洞,可能会发现自己处于不利的位置,由于其他用户不正当地积累了更多的金币。这种不平等可能会导致用户对系统的不满和失望,最终可能导致用户流失。
3、系统信誉受损:一旦这种漏洞被广泛认识并被恶意利用,系统的整体信誉会受到严重损害。新用户可能会对加入平台持怀疑态度,而现有用户也可能因为安全和公平交易的担忧而选择离开。信誉一旦丧失,要想重新建立起来将非常困难和耗时。