【商品支付】漏洞详解!

已于 2024-08-02 17:12:56 修改
阅读量306 收藏
点赞数 6
文章标签: 安全 web安全
于 2024-08-02 17:05:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/140875297
版权

产生原因:


                订单金额的验证:价格未保存在数据库中未校验商品价格与数据库中是否匹配

不安全的传输:
                订单相关信息未进行加密传输(话说你加密的地方一定是重要地方,你不加密,你就是有病,哈哈哈)

验证规则不完整:

                订单号与用户未进行绑定。

危害
                顾名思义了,修改商品的价格、修改订单号、修改订单的数量、修改支付状态值..

----------------------------------------

cms商品支付漏洞

环境搭建:

下载来源:https://www.cnblogs.com/xfbk/p/17910054.html

要搭建在自己的网站目录下 

 打开网站注册寻找商品 

找到之后我们开始

将商品个数改为负数 

,提示成功,之后我们查看自己的订单 

 接下来查看我们的余额

OK,我们现在就有巨款了 

[ web漏洞篇 ] 业务逻辑漏洞详解
qq_51577576的博客
11-19 1832
目录 什么是业务逻辑漏洞: 业务逻辑漏洞产生的核心原因: 应用中的缺陷通常分为两种类型: 逻辑漏洞主要产生的位置 登录处存在的逻辑漏洞 1.可以暴力破解用户名或密码: 2.session没有清空: 业务办理处存在的逻辑漏洞 水平越权 篡改手机号 验证码处存在的逻辑漏洞 登录验证码未刷新 手机或邮箱验证码可爆破 手机或邮箱验证码回显到客户端 修改response包绕过判定 支付处存在的逻辑漏洞 修改商品编号 金额修改 商品数量修改 通过前端限制限购商品 充值中放弃订单
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-7)逻辑漏洞相关面试题
qq_51577576的博客
12-02 1563
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-7)逻辑漏洞相关面试题 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞逻辑漏洞方向的面试题。 如果整个系列的问题搞懂了大部分,那找个网安方向的工作基本上没什么问题了。 当然了,可能也不是说这些问题都会被问到,但这些题目都是和网安岗位相契合的。
简单的支付漏洞案例、密码修改逻辑漏洞案例
dasdasdasvsdV的博客
07-21 672
把id修改成2,密码修改成999;此操作通过低权限用户也可以实现,存在垂直越权漏洞。同时,该网站也存在旧密码教研不严格的问题。选择webug这张表,查看用户名和密码。密码 root toor。
漏洞利用】逻辑漏洞支付漏洞详解
weixin_44023442的博客
01-31 4557
参考文章 挖洞技巧:支付漏洞之总结 Tag: #逻辑漏洞 #支付漏洞 Ref: 本片文章仅供学习使用,切勿触犯法律! 概述 总结 一、漏洞介绍 所有涉及购买、支付等方面的功能处就有可能存在支付漏洞。 二、漏洞原理 一般支付流程: 用户用钱包加上优惠券/折扣券确认购买商品的单价、数量以及购买时间,提交给平台或商家确认无误后,确认支付信息,报告购买信息。其中有三个重要的因素:用户、商品、平台/商家。这三个因素在支付流程中都有可能造成支付漏洞。 三、漏洞危害 对企业和用户的危害极大。 四、利用前
逻辑漏洞详解
m0_55854679的博客
03-09 191
文章目录验证码绕过漏洞验证码的作用验证码绕过方法练习密码找回漏洞漏洞情况 验证码绕过漏洞 验证码的作用 是一种区分用户是计算机还是人的公共全自动程序。 可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码是现在很多网站通行的方式,我们利用比较简易的方式实现了这个功能。 这个问题可以由计算机生成并评判,但是必须只有人类才能解答。由于计算机无法解答验证码的问题,所以回答出问题的用户就可以被认为是人类。 验证码五花八门
浅谈漏洞思路分享-逻辑漏洞支付系统篇)
qq_52612931的博客
04-07 1050
渗透测试项目中网站哪里可能存在逻辑漏洞呢? 这里总结了三大类关于登录页面、会员系统、支付系统可能出现的逻辑漏洞情况,参考之前hackctf公众号里总结的逻辑漏洞位置一张图提供思路,内容比较多所以分开来写,同时参考网上文章及个人案例进行了总结补充,希望大家多多关注。
一文详解逻辑越权漏洞
2401_84466229的博客
05-24 1487
Autorize是一个帮助渗透测试人员检测授权漏洞的扩展,这是Web应用程序渗透测试中比较耗时的任务之一。只需要将低权限账户的cookie值交个插件,然后用高权限的账号登录网站即可,该插件会自动重复每一个请求与低权限用户的会话并对其进行检测。在结果中看颜色,红色代表存在越权、黄色代表不确定、绿色代表没问题。在左边一列中红色列代表存在越权的可能,右边一列中红色列代表存在未授权访问的可能。
一文详解海外支付业务及测试用例
qq_34375170的博客
10-09 914
银行测试是确保银行业务稳定、安全运行的关键环节。在银行系统中,国内业务系统和海外业务系统是分开的,它们的业务、功能、流程以及环境、应用、部署等完全不同,但对于测试人员来说,测试方法是可以相通的。
逻辑漏洞挖掘
sinat_40572875的博客
11-19 1866
此处验证码爆破通常是指手机短信验证的方式,由于没有对输入同一个验证码的次数做限制,并且验证码的内容太简单,例如4位或者6位的纯数字组成。在支付过程中发生用户替换现象,首先登陆自己的账户,然后取得另外一个人的账户名等有效信息,在业务流程中用对方的用户名替换自己的用户名,用对方的余额购买完成后,再替换自己的账户名,这样就形成别人的钱买自己的东西。首先,输入错误的验证码,进行抓包重放一次,观察验证的返回的数据包内容,再用正确的验证码再进行抓包重放,对比两个数据包的差异,然后根据这些差异验证码是否失效。
支付漏洞挖掘技巧总结
黑战士的博客
04-05 1084
支付类逻辑漏洞漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。
Android微信支付实现步骤详解
此外,为了保证支付安全性,开发者需要遵循微信支付的最新安全规范和指南,及时更新SDK,修复可能出现的安全漏洞。 在Android开发中实现微信支付功能,需要对微信支付的API接口有深入理解,同时掌握好签名算法和...
PHP实现支付接口的测试方法详解
1. 接口请求数据的准确性:检查代码能否正确生成支付所需的各项参数,如订单号、金额、商品描述、用户信息等。 2. 安全性测试:验证传输过程中的数据是否得到加密,以及接口是否存在SQL注入、XSS等安全漏洞。 3. ...
【论文速读】| F2A:一种利用伪装安全检测智能体进行提示注入的创新方法
m0_73736695的博客
11-11 495
这篇论文研究了大语言模型(LLMs)在内容安全检测领域的广泛应用,尤其是其与安全检测代理结合后的盲目信任问题。作者提出了一种称为"伪造代理攻击"(Feign Agent Attack, F2A)的新型攻击手段,通过伪造的安全检测结果绕过LLM的防御机制,进而让LLM输出有害内容。
安全 Rust
最新发布
weixin_43219667的博客
11-14 122
这么做的缺点就是你只能靠自己了:如果不安全代码出错了,比如解引用空指针,可能会导致不安全的内存使用。为了尽可能隔离不安全代码,将不安全代码封装进一个安全的抽象并提供安全 API 是一个好主意,当我们学习不安全函数和方法时会讨论到。这里有五类可以在不安全 Rust 中进行而不能用于安全 Rust 的操作,它们称之为 “不安全的超能力。再者,unsafe 不意味着块中的代码就一定是危险的或者必然导致内存安全问题:其意图在于作为开发者你将会确保 unsafe 块中的代码以有效的方式访问内存。
Gartner发布安全平台创新洞察:安全平台需具备的11项常见服务
lurenjia404的博客
11-14 589
安全和风险管理领导者的任务是管理多个安全供应商和复杂的基础设施堆栈。本研究提供了有关安全平台优势和风险的见解,并提供了为组织选择合适平台的建议。
web3+web2安全/前端/钱包/合约测试思路——尝试前端绕过直接上链寻找漏洞
2401_83799022的博客
11-14 312
DEFI APP会存在许多的前端限制,原因是一些项目常常会有多种多样的限制,然而DEFI APP有别于传统的JAVA后端语言,DAPP有自己独属于区块链特性,能够直接交互上链且上链后不可篡改特征也让DAPP上线前往往更加严格,在前端的限制有可能只是为了掩盖该项目合约的问题(项目合约可编译不公开代码,可进行白名单KYC认证)发现这个值的触发来源于如下,也就是说进入了以下方法后,通过switch来判断,最终达到case为15的时候,就会进入判断,那么我们只需在断点时候不要让他进入这个判断。
蓝队基础1 -- 企业信息架构与安全基础
CrossProblems的博客
11-14 825
在这新兴的“模糊边界”环境下,企业必须确保系统的安全性和一致性,平衡内部IT架构与外部服务的整合,才能在云时代有效地管理资源并推动业务的敏捷发展。负责企业内的技术支持,包括工作站、笔记本电脑的维护以及服务台的支持,确保员工能顺畅使用设备。ISM3通过分级的成熟度等级,帮助企业评估安全管理流程的效率和规范性,指出改进路径。通常为物理隔离并具有冗余设计的区域,核心网络支持企业的主要通信,保障网络的高可用性。通过合理划分企业网络区域,企业不仅能提高整体安全性,还能确保网络的灵活管理与稳定性。
等保测评怎么做?具体流程是什么?
weixin_59571541的博客
11-14 248
等保是指对信息系统进行等级化保护管理,目的是提高信息系统的安全性,防止信息泄露、篡改、破坏等安全问题。在哈尔滨进行等保测评的具体流程大致是:需求分析与准备、自评、选择测评机构、现场评估、问题整改、编写报告、报告审核与备案、持续改进。2.选择等保等级:根据系统的性质、重要性、涉及的敏感信息等,选择合适的等保等级(从1级到5级)。1.明确测评范围:首先需要确定需要进行等保测评的系统范围,包括硬件、软件、网络架构等。3.准备工作:准备相关的文档资料,包括系统架构图、设备清单、安全管理规程、系统开发/运营情况等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值