APP支付漏洞-记一次某公司APP积分商城支付漏洞
0x00前言
预习完老师讲解的逻辑漏洞那一课后,就开始对自己所在单位的APP商城产生了邪恶的测试攻击欲望,哈哈哈哈,我们是一个小公司开发团队小,我觉得应该会有好多漏洞,所以断定一定会有所收获。
0x01环境准备
环境需求:
硬件:一台电脑、一部手机
软件:burpsuite
环境搭建:
首先打开burpsuite设置代理服务器地址,和端口号
设置手机网络代理为手动,输入burpsuite设置的IP及端口号
0x02第一个漏洞:APP手机短信验证码可以明文截取
1、打开手机APP收入手机号码,点击“获取验证码”
2、这时在burpsuite软件的HTTP history里面点击第一条连接,点击下方的respone,在Raw里面可以看到“data”字段就是短信验证码,在APP验证码里面收入后即可登录APP
0x03第二个漏洞:可以使用burpsuite软件将积分商城购物里的商品数量修改为负数,可以下单并结算。
1、商品直接在加入购物车之前将产品数量直接修改为负数是无效的,需要使用burpsuite截取数据包后修改,然后放包即可看到购物筐中的商品数量为负数。
2、将商品数量20修改为-20,然后放包,然后加入购物车。
3、这时可以看到购物车中德商品数量为-20,合计积分为-2040
4、点击结算,输入收货地址,并且提交后可以看到下单成功。
5、可以查看订单详情,共消耗积分-2040
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| admin | 100.00 | 0 | 2020-04-24 10:10:44 | 初次投稿奖励! |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
a1093943635
发表于 2021-1-28
‘“><img/src=1></img/src>
评论列表
加载数据中...
5623123
发表于 2021-2-3
111
评论列表
加载数据中...
zfdc
发表于 2021-2-7
学习一下。
评论列表
加载数据中...
a641953279
发表于 2021-2-24
k
评论列表
加载数据中...
1746284296
发表于 2021-3-2
小白围观
评论列表
加载数据中...
伊理户水斗
发表于 2021-3-8
看看
评论列表
加载数据中...
806366862
发表于 2021-3-17
1
评论列表
加载数据中...
liangzetong
发表于 2021-3-18
11
评论列表
加载数据中...
xx612124
发表于 2021-3-19
围观小白
评论列表
加载数据中...
1399546819
发表于 2021-3-25
11
评论列表
加载数据中...
market
发表于 2021-3-28
看看
评论列表
加载数据中...
咚咚咚
发表于 2021-4-16
1
评论列表
加载数据中...
903302814
发表于 2021-4-21
1
评论列表
加载数据中...
王铁柱
发表于 2021-4-21
111
评论列表
加载数据中...
ouyangxuehan
发表于 2021-4-22
围观
评论列表
加载数据中...
zz风过无痕
发表于 2021-4-23
我是不会放手的,大佬
评论列表
加载数据中...
奈落
发表于 2021-5-7
过分奥
评论列表
加载数据中...
白白白白白无
发表于 2021-5-7
小白围观
评论列表
加载数据中...
毛娃
发表于 2021-5-13
围观
评论列表
加载数据中...
2269064521
发表于 2021-5-16
1
评论列表
加载数据中...