自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(3)
  • 收藏
  • 关注

原创 支付逻辑漏洞

一、支付过程中可直接修改数据包中的支付金额1、访问http://10.1.1.23/demo/用账号tom密码123456 登录进入系统进入系统后,发现当前余额只有5元,尝试购买1本书籍1和1本书籍2,发现购买不成功,余额不足。再次登陆打开burpsuite工具,浏览器设置本地8080端口代理,购买的数量同样输入1本书籍1和1本书籍2、在点击购买的时候抓取到数据包,分析数据包可以直接看到传输的商品金额分别为10和20,尝试直接将金额都修改为0.1然后点击forward继续发包,可以看到最后成功

2021-04-02 19:46:17 1191

转载 挖洞技巧:支付漏洞之总结

文章目录前言0x01 修改支付价格0x02 修改支付状态0x03 修改购买数量0x04 修改附属值0x05 修改支付接口0x06 多重替换支付0x07 重复支付0x08 最小额支付0x09 值为最大值支付问题0x10 越权支付0x11 无限制试用0x12 修改优惠价前言支付漏洞一直以来就是高风险,对企业来说危害很大,对用户来说同样危害也大。就比如我用他人账户进行消费,这也属于支付漏洞中的越权问题。那么支付漏洞一般存在在哪些方面呢,根据名字就知道,凡是涉及购买、资金等方面的功能处就

2021-04-02 15:26:09 766

原创 身份认证失效漏洞实战

文章目录背景0x1 测试用户0x2 越权访问总结背景钻石代理商马春生同学卷款逃跑,多位下级代理内心受到了难以磨灭的伤害,为了找到她我们将通过代理网站获取到她的手机号码等信息。0x1 测试用户先登陆测试用户(test/test):成功登陆,发现会员号0x2 越权访问查看网页源代码:getProfile({"card_id":"20128880322","user":"test","password":"098f6bcd4621d373cade4e832627b4f6",发现card

2021-04-01 20:32:45 1023

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除