0元购-初体验

于 2024-10-11 16:47:26 发布
阅读量149 收藏 2
点赞数 6
分类专栏: Web安全 逻辑漏洞 文章标签: web安全 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51641247/article/details/142856369
版权

闲来无事想着验证一下支付逻辑漏洞的方法,网上教程一大堆,但是没实践成功,总不确定是不是真正有用的知识。

通常支付逻辑漏洞测试方法概况如下:

1、直接修改商品的价格

2、修改支付状态

3、修改商品数量

4、重复支付

5、越权支付

6、线程并发问题

随手找一个资产(这次真的随便搜了一个商城……)

然后就是随便找一个商品进去查看。

什么手机贴敢卖88元啊,上架这么久,终于有一单销量了,还被0元购了———

点击立即购买,查看数据包请求,由于网站数据没有进行加密,多抓几次包,就能发现数据传输规律了,知道购买过程中的商品id、数量、价格字段,那就可以开始尝试修改了。

随后就是简单的点-点-点,然后改-改-改,最后发送数据包,就能实现0元购了,当然可以尝试改为负数,或者改其他的参数,网站竟然全都没做过滤检测,小破站开发太大意了吧。

然后就跳转支付页面了,当然要我支付0元,果断下单,直接就支付成功了。

查看一下我的订单,已经在我的仓库里躺着了,赶紧跑路……

-飞飞鱼
关注
专栏目录
腾讯云数据库 TDSQL-之初体验
ProYuan的博客
05-04 4139
目录 一、简介 二、创建和使用TDSQL 1、登录TDSQL控制台,在实例列表,单击新建,进入购买页。 2.对数据库进行管理,点击管理 3.创建帐号 4. 在弹出的对话框,输入帐号名、密码、备注,确认无误后,单击确认。 5. 通过Linux 端连接数据库 三、MySQL的使用 1、数据库的创建与删除 2、创建并进入表 3、表内数据的增删改查 四、总结 一、简介 TDSQL MySQL版(TDSQL for MySQL)是部署在腾讯云上的一种支持自动水平拆分、S...
微信小程序开发--【初体验】(一)
李彬博客专栏
10-24 1562
第一步–注册账号 https://mp.weixin.qq.com/cgi-bin/registermidpage?action=index&lang=zh_CN&token= 切记: 订阅号、服务号、小程序、企业微信,以上四种功能每个邮箱仅能申请一种帐号。 第二步–登录 登录后我们看到的界面如图所示: 我们看到东西特别多,我们一步一步来 第三步–完善小程序信息 主要是:小程...
JNPF开发平台--初体验
xuxian的博客
12-29 1368
这一两年低代码的概念很流行,我也在网上了解体验了一番。目前低代码主要分为两种,第一种是与云平台绑定的低代码,在云平台上开发,直接发布到云平台;第二种是低代码框架,低代码项目,这种比较流行的有uniapp、JNPF,这里我就体验了引迈信息的JNPF平台。
ESP32-cam 初体验 从esp32-cam的购买到局域网监控的实现
lzsm_的博客
10-15 3440
手头有一块esp32-cam闲置很久了,因为比赛和找工作的事情导致许欸小延期了很久(还是因为懒)最近从小仓库把板子捞出来了,上手玩一玩本次学习参考了B站up小铭同学的教程【教程链接】up讲的简洁易懂,大概相当于是esp32-cam的helloworld吧up省略的一些步骤我在本博客中做了一些补充,借鉴了保姆级教程手把手教你使用Arduino开发ESP32-1-搭建开发环境操作可能需要读者有一定arduino IDE的操作基础,希望大家先看完上述笔者参考过的教程,再结合本次博客进行操作。
OK3588-C 开发板初体验
wjlenergetic的博客
09-27 727
瑞芯微的RK3399核心板发布时间较长,基于该核心板的网上资料较多,Android和linux开发上手相对容易,但较新、性能更强的RK3588核心板资料目前还比较少,正好手头上有张飞凌的ok3588-c开发板,简单记录一下试用体验,分享给大家(非专,不对的地方一块交流,望勿喷)。提示:以下是本篇文章正文内容,下面案例可供参考。
初体验 | 购买激活Typora软件
邓飞----育种数据分析之放飞自我
02-12 4608
1. 下载 官网地址:https://typora.io/ 2. 安装 下载exe文件到本地 双击安装: 安装好之后打开: 初次打开,有15天试用。 3. 购买 点击购买,弹出网页 看起来是14.99美元,可以用支付宝购买。 填写个人信息 填写好的信息, 可以看到一共89元,点击支付: 注意,如果无法激活,可以在Typora中选择国内服务器 4. 激活 购买后,邮箱中会收到一个激活码: 输入激活码,激活软件: 已激活: ...
SAP S/4 HANA - 记录初体验
weixin_34241036的博客
07-14 1776
这些天,我在构思一门培训课程,需要用到 SAP S/4 HANA 的环境,于是就琢磨着搭建一套自己的环境。现在毕竟是云的时代,SAP 为了推广自己的产品,也给出了看起来挺不错的试用产品。我抱着试试看的心理,开启了一个尝试。 SAP 的试用组合: SAP CAL服务:30天免费SAP S/4许可:90天 支持的部署环境:AWS 或者 AZure 登录 CAL,方案一览:...
痞子衡嵌入式:恩智浦机器视觉模块OpenMV-RT那些事(1)- 初体验
痞子衡嵌入式
12-01 605
  大家好,我是痞子衡,是正经搞技术的痞子。本系列痞子衡给大家介绍的是机器视觉模块OpenMV-RT初体验。   近些年机器视觉应用一直是个很火的方向,想象一下机器如果能长上“眼睛”,是不是就可以做一些人类才能做的事情,因此机器视觉是人工智能实现的一个重要基础。痞子衡当年硕士毕业论文课题就是工业相机图像处理相关的,算是机器视觉系统的前端核心。遥想十年以前,想要从事机器视觉系统的开发一直...
python办公自动化:`Python-PPTX`的安装及初体验
一名全栈开发工程师
08-28 929
在开始使用Python-PPTX库之前,我们需要进行环境设置,包括安装Python、Pip以及Python-PPTX库本身。本章将详细介绍安装过程以及如何验证安装是否成功,并带领读者创建第一个简单的PPTX文件。
5组-可行性分析报告-初版1
08-08
【可行性分析报告初版1】主要探讨了"落笔云烟"项目,这是一个结合深度学习技术与手机APP的创新解决方案,旨在改善书法练习者的体验,尤其是对于非专业但希望提升书写美观度的用户群体。该项目利用了深度学习的图像...
03-初点作业操作标准.doc
08-17
文档标题“03-初点作业操作标准.doc”和描述中的内容主要涉及的是零售业的库存盘点流程和规范,这是企业管理和运营中的重要环节,尤其是对于保持准确的库存记录、控制成本和提升效率至关重要。以下是根据提供的部分...
方言说app商业模式画布-初版1
08-04
1. 问题解决:提供方言翻译服务,包括普通话到方言的精准翻译和方言到普通话的识别,同时推荐相关方言话题,增强用户体验。 2. 平台网络:建设一个支持方言交流的社交环境,用户可以发布方言内容,参与各种方言活动...
讯为4412 arm9开发板学习日志--初体验
qq_37562987的博客
09-21 295
开发板组装 笔者只买了500W像素的摄像头和4.3寸电阻屏,想玩下linux下的摄像头以及添加opencv的人脸识别算法。 摄像头安装 其实也没啥组装的,将视频摄像头插在CAMERA槽中,摄像头和开发板的小三角对应: 插好后,如下所示: 电阻屏的安装 买电阻屏的时候有配套的软排线,笔者买的是RGB-LCD,所以要把软排线金属面插到插槽内,然后将塑料开关压下即可固定: 最终完整的安装,整个电路...
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 2178
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
个人网络安全的几个重点与防御
nn_84的博客
10-03 444
2 防火墙 大家都用windows 只需在 gpedit.msc 设置 但有什么未知漏洞就不得而知了 因为美国的计划问题。1 浏览器 firefox 这是第一选择 如果你真的不明白可以找找各个浏览器漏洞。3 移动设备带来的危害 比如u盘 等 对于你们认为杀毒可以 那免杀还干吗呢。网络端口溢出漏洞 但防火墙和随机地址的原因 已经可以防御。提权 这是以后遇到的问题 有些漏洞不是随机地址能够阻止。mail 的危险的 来自与代理和漏洞。浏览器溢出漏洞 实时注意更新就可以。
网络安全:数字时代的坚实护盾》
一名资深Java工程师的技术分享
10-10 250
在当今高度数字化的时代,网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全,更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。
什么是网络安全
m0_66268916的博客
10-07 495
全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。网络安全涉及多个层面,包括硬件、软件及其系统中数据的保护和确保网络系统的连续可靠运行,防止数据被破坏、更改、泄露。
网络安全(黑客)自学
最新发布
白帽子凯哥聊黑客
10-10 1207
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值