- 博客(3)
- 收藏
- 关注
RSS订阅原创 支付逻辑漏洞
一、支付过程中可直接修改数据包中的支付金额1、访问http://10.1.1.23/demo/用账号tom密码123456 登录进入系统进入系统后,发现当前余额只有5元,尝试购买1本书籍1和1本书籍2,发现购买不成功,余额不足。再次登陆打开burpsuite工具,浏览器设置本地8080端口代理,购买的数量同样输入1本书籍1和1本书籍2、在点击购买的时候抓取到数据包,分析数据包可以直接看到传输的商品金额分别为10和20,尝试直接将金额都修改为0.1然后点击forward继续发包,可以看到最后成功
2021-04-02 19:46:17
1191
转载 挖洞技巧:支付漏洞之总结
文章目录前言0x01 修改支付价格0x02 修改支付状态0x03 修改购买数量0x04 修改附属值0x05 修改支付接口0x06 多重替换支付0x07 重复支付0x08 最小额支付0x09 值为最大值支付问题0x10 越权支付0x11 无限制试用0x12 修改优惠价前言支付漏洞一直以来就是高风险,对企业来说危害很大,对用户来说同样危害也大。就比如我用他人账户进行消费,这也属于支付漏洞中的越权问题。那么支付漏洞一般存在在哪些方面呢,根据名字就知道,凡是涉及购买、资金等方面的功能处就
2021-04-02 15:26:09
766
原创 身份认证失效漏洞实战
文章目录背景0x1 测试用户0x2 越权访问总结背景钻石代理商马春生同学卷款逃跑,多位下级代理内心受到了难以磨灭的伤害,为了找到她我们将通过代理网站获取到她的手机号码等信息。0x1 测试用户先登陆测试用户(test/test):成功登陆,发现会员号0x2 越权访问查看网页源代码:getProfile({"card_id":"20128880322","user":"test","password":"098f6bcd4621d373cade4e832627b4f6",发现card
2021-04-01 20:32:45
1023
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人