中危漏洞!小程序优惠卷遍历

最新推荐文章于 2024-11-08 15:34:15 发布
最新推荐文章于 2024-11-08 15:34:15 发布
阅读量799 收藏
点赞数 28
分类专栏: 渗透测试 Web漏洞 漏洞挖掘 文章标签: 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/134778569
版权

图片


进入小程序,因为是一个小商城,所以照例先查看收货地址是否存在越权,以及能否未授权访问,但是发现不存在这些问题,所以去查看优惠卷

进入领券中心,点击领取优惠券时抓包

图片

图片

发现数据包,存在敏感参数id

图片


本来是测的能不能并发,直接领取多次,但是发现不可以,所以转变思路,遍历id,查看能否领取所有优惠卷

果不其然,除了已经所有人无法领取的优惠卷外,其他所有优惠卷都可以领取,包括但不限于生日专享,社群专享,还有会员专享

图片

图片

图片

这应该算是个中危了。

图片

没看够~?欢迎关注!

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

渗透测试老鸟-九青
关注
专栏目录
4.13. 逻辑漏洞 / 业务漏洞
Sumarua的博客
07-04 2743
文章目录4.13. 逻辑漏洞 / 业务漏洞4.13.1. 简介4.13.2. 安装逻辑4.13.3. 交易4.13.3.1. 购买4.13.3.2. 业务风控4.13.4. 账户4.13.4.1. 注册4.13.4.2. 邮箱用户名4.13.4.3. 手机号用户名4.13.4.4. 登录4.13.4.5. 找回密码4.13.4.6. 修改密码4.13.4.7. 申诉4.13.5. 2FA4.13.6. 验证码4.13.7. Session4.13.8. 越权4.13.9. 随机数安全4.13.10. 其他4
WEB漏洞-逻辑越权
weixin_46544151的博客
04-30 1521
目录 33、逻辑越权之水平垂直越权 原理 一、Pikachu-本地水平垂直越权演示(漏洞成因) 1.水平越权 2.垂直越权 3.越权漏洞产生的原理解析: 二、墨者水平-身份认证失效漏洞实战(漏洞成因) 三、越权检测-小米范越权漏洞检测工具(工具使用) 四、越权检测-Burpsuite插件Authz安装测试(插件使用) 1.在burpsuite中插件管理找到Authz安装 2.登录mozhe靶场test用户抓包,抓取card_id 3.pikachu中测试 34、逻辑越权之支付...
微信小程序开发的学习资料收集
热门推荐
zhan9le的博客
06-28 1万+
小程序开发学习资料集合
逻辑漏洞小总结
yk2909438315的博客
07-10 4243
1、找到关键的数据包可能一个支付操作有三四个数据包,我们要对数据包进行挑选。2、分析数据包支付数据包中会包含很多的敏感信息(账号,金额,余额,优惠),要尝试对数据包中的各个参数进行分析。3、不按套路出牌多去想想开发者没有想到的地方。4、pc端尝试过,手机端wap也看看,app也试试防御方法1、在后端检查订单的每一个值,包括支付状态;2、校验价格、数量参数,比如产品数量只能为整数,并限制最大购买数量;
SRC中逻辑漏洞检查总结
qq_44418229的博客
08-05 1218
src常见逻辑漏洞总结
逻辑漏洞-其七 (SRC中的逻辑漏洞总结)
qq_64177395的博客
10-03 1092
ID替换如果程序对用户标识进行了hash或者加密,而无法破解用的什么方式的话,就无法通过遍历ID来获取其它用户的信息了,此时可以尝试注册两个账号,通过替换两个ID加密后的值,判断程序是否对权限进行了验证,如果没有,也会存在越权问题。用户替换:在支付过程中发生用户替换现象,首先登陆自己的账户,然后取得另外一个人的账户名等有效信息,在业务流程中用对方的 用户名替换自己的用户名,用对方的余额购买完成后,再替换自己的账户名,这样就形成别人的钱买自己的东西。
小程序的学习资料收集
weixin_30414245的博客
02-23 3120
收集学习资料 1:官方工具:https://mp.weixin.qq.com/debug/w ... tml?t=1476434678461 2:简易教程:https://mp.weixin.qq.com/debug/wxadoc/dev/?t=1476434677599 3:设计指南:https://mp.weixin.qq.com/debug/wxadoc/desig...
小程序存在优惠卷遍历,但是歪了
hackzkaq的博客
11-22 269
进入小程序,因为是一个小商城,所以照例先查看收货地址是否存在越权,以及能否未授权访问,但是发现不存在这些问题,所以去查看优惠卷进入领券中心,点击领取优惠券时抓包发现数据包,存在敏感参数id本来是测的能不能并发,直接领取多次,但是发现不可以,所以转变思路,遍历id,查看能否领取所有优惠卷果不其然,除了已经所有人无法领取优惠卷外,其他所有优惠卷都可以领取,包括但不限于生日专享,社群专享,还有会员专享应该算是中危
优惠券卡卷小程序(亲测可用)
11-08
包含大宅小屋拼团和优惠券卡卷小程序2款小程序
Java学习(中)
Lzdnydppx的博客
08-11 921
正则表达式、加密与安全、多线程、Maven基础、网络编程、XML与JSON、JDBC编程、函数式编程、设计模式
小程序坑及案例
li419357679的博客
08-16 635
“微天气”微信小程序实战开发过程 [干货] 开发到上线仅十六天 海外党微信小程序全攻略 微信小程序学习用demo:考证通,在线题库类小程序 跳坑指南《七十一》微信小程序真机预览跟本地不同的问题 跳坑《九十九》分享相关 知识onShareAppMessage 微信小程序免费SSL证书https、TLS版本问题的解决方案 微信小程序联盟 微信小程序把玩(三十六)Storage API 微
小程序跳转另一个小程序
声声的博客
11-04 500
点击小程序右上角,选择“复制链接”就可以啦。也有办法,就是用shortLink属性实现。
开源 AI 智能名片 S2B2C 商城小程序在微商内容展示中的应用与价值
最新发布
专注MarTech应用研究与实施方案
11-08 748
本文围绕微商在社群和朋友圈这一“店面”的内容展示展开深入讨论,剖析展示对产品的热爱、产品真实反馈和代理反馈的重要意义,并详细阐述开源 AI 智能名片 S2B2C 商城小程序如何助力微商优化这些内容展示,从而提升微商营销效果和团队发展能力,为微商在数字化营销时代的发展提供新的思路和方法。
uniapp组件样式运行至小程序失效
regretTAT的博客
11-08 301
这个配置项改变了小程序组件的样式隔离模式,使得组件的样式能够共享和继承。微信小程序中,组件默认是隔离的,父组件的样式不会自动作用到子组件中。styleIsolation 属性提供了控制组件样式隔离的几种模式。styleIsolation 的选项说明。
家庭财务管理系统|基于java和小程序的家庭财务管理系统设计与实现(源码+数据库+文档)
伟庭的博客
11-04 1156
本基于微信小程序的家庭财务管理系统采用WXML 、WXS、JS小程序编写语言、微信开发者工具进行微信端开发,使用MYSQL数据库进行储存系统数据,以微信为入口的,具有快捷、轻便的特点,不占内存,不用下载、安装,而且访问速度很快。系统界面良好,操作简单方便,通过系统概述、系统分析、系统设计、数据库设计、系统测试这几个部分,详细的说明了系统的开发过程,最后并对整个开发过程进行了总结,实现了家庭财务管理的重要功能。“操作简单,功能实用”这是本软件设计的核心理念,本系统力求创造最好的用户体验。
uni-app小程序echarts中tooltip被遮盖
qq_38210427的博客
11-08 280
图表中的文案过长,tooltip溢出容器,会被遮盖住。
服装品牌零售业态融合中的创新发展:以开源 AI 智能名片 S2B2C 商城小程序为视角
专注MarTech应用研究与实施方案
11-05 763
本文以服装品牌零售业态融合为背景,探讨信息流优化和资金流创新的重要作用,并结合开源 AI 智能名片 S2B2C 商城小程序,分析其如何进一步推动服装品牌在零售领域的发展,提高运营效率和用户体验,实现商业价值提升。
停车共享小程序ssm+论文源码调试讲解
u014445459的博客
11-08 1072
JavaScript是一种在现在都极为流行极为热门的脚本语言,最早是在HTML网页上被使用,使用JavaScript,我们可以给HTML网页添加更是各样的动态功能,并且给这些功能设置好不同的触发动作,通过用户在浏览器上的各种操作进行触发。随着时代的发展,JavaScript的用途也越来越多,例如:将动态文字嵌入到HTML页面之中,读写HTML元素、在数据被提交到服务器之前检验数据等等。
《“躺赢”能否成为2025年新时代的掘金之旅?——直播间答题测试类小程序的新机遇与挑战》
2401_84272821的博客
11-05 549
《“躺赢”能否成为2025年新时代的掘金之旅?——直播间答题测试类小程序的新机遇与挑战》在当今数字化高速发展的时代,各种创新的商业模式和应用不断涌现,为人们带来了新的机遇和挑战。其中,直播间挂载答题测试类的小程序正逐渐成为一种备受关注的新兴领域。那么,在2025年,“躺赢”是否能在这一领域成为现实,开启新时代的掘金之旅呢?直播间挂载答题测试类小程序的崛起近年来,直播行业的火爆无需多言,它已经成为了人们获取信息、娱乐消遣的重要方式。而答题测试类小程序,凭借其趣味性、互动性和知识性,也吸引了大量用户的参与。当这
基于开源 AI 智能名片 S2B2C 商城小程序的视频号交易小程序优化研究
专注MarTech应用研究与实施方案
11-08 445
本文探讨了完善适配视频号交易小程序的重要意义,重点阐述了开源 AI 智能名片 S2B2C 商城小程序在这一过程中的应用。通过分析其与直播间和社群的无缝衔接特点,以及满足新流量结构下基础设施需求的能力,为门店在视频号直播交易场景提供了新的思路和实践指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值