一个菜鸡的支付漏洞挖掘

小弟初到掌控安全，学到的技术没多少，奈何心有点大，尤其是看完聂风老师讲的支付漏洞，哇，几百块就能改成几十块甚至几块钱，这满满的福利啊！！！可惜出去之后多次碰壁，终于找到一个，且听小弟细细道来：

首先如何找到这种支付漏洞，信息收集必不可少，找到一个交易平台就是漏洞挖掘成功的一大进步（除了某些都能耳熟闻详的大网站）然后仔细查找3个位置（大佬可能有更多见解）

1.购买界面能有修改数值的机会。

2.支付界面能有修改数值的机会。

3.加入购物车时能有修改数值的机会。其他的能找到修改机会很少。

接下来就是复现时间：

1.首先找到个交易平台，寻思着顺手买个东西。因为不会打码这种操作，所以只能简约给大伙截个图。

2.发现这个东西有点贵啊，还要运费，简直不是我这种人能呆的地方。

3.寻思着能不能打个折再付款。支付信息随意填写。顺手打开burp抓包，查看一下是否有能修改的数值，发现还真有。

这个allmoney应该就是原价，sendmoney应该是运费，total应该是需要支付的金额。修改一下发送出去看看结果。

这里发现果然需要支付的金额变成了自己修改的，再查看一下支付宝付款，因为有些时候购物车里显示修改的金额，但是支付宝里又变成了原来的。

发现修改成功，这次测试到此结束。已上交漏洞盒子。

所以说，世上无难事只怕有心人，只要认真仔细的去找，总能找到的。
最后，因为不会打码所以只能截个大概，要是有泄露的地方麻烦老师们说一声。