今天来讲一个企业src的逻辑漏洞哈,因为忙着考试所以很久没有更新了
接下来开始直入主题
我们用余额充值为例,余额都是保留到分(也就是0.00)当然有些区块链的网站可能会更精确
那么如果我们充值0.001会怎么样呢,那么开发一般会前端判断我们输入的数字,或者直接把后一位四舍五入了
我们来试试
支付宝直接报错,因为第三方支付是只能充值到分的
那我们就可以尝试一下充值0.019看看会发生什么事
我们可以看到显示的是0.01后面的9直接忽略了,因为第三方支付只能判断到分
充值了0.02,是不是很惊喜,那么漏洞不就出来了吗?
利用四舍五入的性质就可以实现半价充值了
那么在企业src中也是很常见的,主要是利用这个四舍五入的性质来欺骗服务器。