APP支付漏洞-记一次某公司APP积分商城支付漏洞

yangqiding   ·   发表于 2020-04-24 00:42:49   ·   实战纪实

0x00前言

预习完老师讲解的逻辑漏洞那一课后,就开始对自己所在单位的APP商城产生了邪恶的测试攻击欲望,哈哈哈哈,我们是一个小公司开发团队小,我觉得应该会有好多漏洞,所以断定一定会有所收获。

0x01环境准备

环境需求:
硬件:一台电脑、一部手机
软件:burpsuite
环境搭建:
首先打开burpsuite设置代理服务器地址,和端口号

设置手机网络代理为手动,输入burpsuite设置的IP及端口号

0x02第一个漏洞:APP手机短信验证码可以明文截取

1、打开手机APP收入手机号码,点击“获取验证码”

2、这时在burpsuite软件的HTTP history里面点击第一条连接,点击下方的respone,在Raw里面可以看到“data”字段就是短信验证码,在APP验证码里面收入后即可登录APP

0x03第二个漏洞:可以使用burpsuite软件将积分商城购物里的商品数量修改为负数,可以下单并结算。

1、商品直接在加入购物车之前将产品数量直接修改为负数是无效的,需要使用burpsuite截取数据包后修改,然后放包即可看到购物筐中的商品数量为负数。

2、将商品数量20修改为-20,然后放包,然后加入购物车。

3、这时可以看到购物车中德商品数量为-20,合计积分为-2040

4、点击结算,输入收货地址,并且提交后可以看到下单成功。

5、可以查看订单详情,共消耗积分-2040

用户名金币积分时间理由
admin 100.00 0 2020-04-24 10:10:44 初次投稿奖励!

打赏我,让我更有动力~

188 Reply   |  Until 7个月前 | 7028 View

a1093943635
发表于 2021-1-28

‘“><img/src=1></img/src>

评论列表

  • 加载数据中...

编写评论内容

5623123
发表于 2021-2-3

111

评论列表

  • 加载数据中...

编写评论内容

zfdc
发表于 2021-2-7

学习一下。

评论列表

  • 加载数据中...

编写评论内容

a641953279
发表于 2021-2-24

k

评论列表

  • 加载数据中...

编写评论内容

1746284296
发表于 2021-3-2

小白围观

评论列表

  • 加载数据中...

编写评论内容

伊理户水斗
发表于 2021-3-8

看看

评论列表

  • 加载数据中...

编写评论内容

806366862
发表于 2021-3-17

1

评论列表

  • 加载数据中...

编写评论内容

liangzetong
发表于 2021-3-18

11

评论列表

  • 加载数据中...

编写评论内容

xx612124
发表于 2021-3-19

围观小白

评论列表

  • 加载数据中...

编写评论内容

1399546819
发表于 2021-3-25

11

评论列表

  • 加载数据中...

编写评论内容

market
发表于 2021-3-28

看看

评论列表

  • 加载数据中...

编写评论内容

咚咚咚
发表于 2021-4-16

1

评论列表

  • 加载数据中...

编写评论内容

903302814
发表于 2021-4-21

1

评论列表

  • 加载数据中...

编写评论内容

王铁柱
发表于 2021-4-21

111

评论列表

  • 加载数据中...

编写评论内容

ouyangxuehan
发表于 2021-4-22

围观

评论列表

  • 加载数据中...

编写评论内容

zz风过无痕
发表于 2021-4-23

我是不会放手的,大佬

评论列表

  • 加载数据中...

编写评论内容

奈落
发表于 2021-5-7

过分奥

评论列表

  • 加载数据中...

编写评论内容

白白白白白无
发表于 2021-5-7

小白围观

评论列表

  • 加载数据中...

编写评论内容

毛娃
发表于 2021-5-13

围观

评论列表

  • 加载数据中...

编写评论内容

2269064521
发表于 2021-5-16

1

评论列表

  • 加载数据中...

编写评论内容
首页 4 5 6 7 8 9 10 / 10 跳转 尾页
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.