APP支付漏洞-记一次某公司APP积分商城支付漏洞
0x00前言
预习完老师讲解的逻辑漏洞那一课后,就开始对自己所在单位的APP商城产生了邪恶的测试攻击欲望,哈哈哈哈,我们是一个小公司开发团队小,我觉得应该会有好多漏洞,所以断定一定会有所收获。
0x01环境准备
环境需求:
硬件:一台电脑、一部手机
软件:burpsuite
环境搭建:
首先打开burpsuite设置代理服务器地址,和端口号
设置手机网络代理为手动,输入burpsuite设置的IP及端口号
0x02第一个漏洞:APP手机短信验证码可以明文截取
1、打开手机APP收入手机号码,点击“获取验证码”
2、这时在burpsuite软件的HTTP history里面点击第一条连接,点击下方的respone,在Raw里面可以看到“data”字段就是短信验证码,在APP验证码里面收入后即可登录APP
0x03第二个漏洞:可以使用burpsuite软件将积分商城购物里的商品数量修改为负数,可以下单并结算。
1、商品直接在加入购物车之前将产品数量直接修改为负数是无效的,需要使用burpsuite截取数据包后修改,然后放包即可看到购物筐中的商品数量为负数。
2、将商品数量20修改为-20,然后放包,然后加入购物车。
3、这时可以看到购物车中德商品数量为-20,合计积分为-2040
4、点击结算,输入收货地址,并且提交后可以看到下单成功。
5、可以查看订单详情,共消耗积分-2040
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| admin | 100.00 | 0 | 2020-04-24 10:10:44 | 初次投稿奖励! |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
无心法师
发表于 2020-6-10
6
评论列表
加载数据中...
shenqs
发表于 2020-6-12
11111111
评论列表
加载数据中...
帆先生
发表于 2020-6-18
1
评论列表
加载数据中...
hjj19880826
发表于 2020-6-19
1
评论列表
加载数据中...
ccie38189
发表于 2020-6-28
小白努力向大佬学习
评论列表
加载数据中...
追忆
发表于 2020-6-28
111
评论列表
加载数据中...
威利斯
发表于 2020-7-1
小白围观
评论列表
加载数据中...
wl1358042098
发表于 2020-7-2
打卡
评论列表
加载数据中...
vonsr
发表于 2020-7-6
1
评论列表
加载数据中...
辛利伟
发表于 2020-7-9
1
评论列表
加载数据中...
weixiao
发表于 2020-7-20
1111
评论列表
加载数据中...
xiaoxiaonai
发表于 2020-7-20
1
评论列表
加载数据中...
影伴
发表于 2020-7-24
1
评论列表
加载数据中...
12366
发表于 2020-7-30
%2b
评论列表
加载数据中...
zhangjialu
发表于 2020-8-3
学习学习学习
评论列表
加载数据中...
白鸽
发表于 2020-8-6
1
评论列表
加载数据中...
hdx
发表于 2020-8-9
!
评论列表
加载数据中...
和平
发表于 2020-8-10
1
评论列表
加载数据中...
luoye
发表于 2020-8-10
66666666
评论列表
加载数据中...
move
发表于 2020-8-15
学习学习,,,,
评论列表
加载数据中...