一个菜鸡的支付漏洞挖掘

曾经沧海难为水   ·   发表于 2021-05-05 13:55:56   ·   技术文章投稿区

小弟初到掌控安全,学到的技术没多少,奈何心有点大,尤其是看完聂风老师讲的支付漏洞,哇,几百块就能改成几十块甚至几块钱,这满满的福利啊!!!可惜出去之后多次碰壁,终于找到一个,且听小弟细细道来:

首先如何找到这种支付漏洞,信息收集必不可少,找到一个交易平台就是漏洞挖掘成功的一大进步(除了某些都能耳熟闻详的大网站)然后仔细查找3个位置(大佬可能有更多见解)

1.购买界面能有修改数值的机会。

2.支付界面能有修改数值的机会。

3.加入购物车时能有修改数值的机会。其他的能找到修改机会很少。

接下来就是复现时间:

1.首先找到个交易平台,寻思着顺手买个东西。因为不会打码这种操作,所以只能简约给大伙截个图。

2.发现这个东西有点贵啊,还要运费,简直不是我这种人能呆的地方。

3.寻思着能不能打个折再付款。支付信息随意填写。顺手打开burp抓包,查看一下是否有能修改的数值,发现还真有。

这个allmoney应该就是原价,sendmoney应该是运费,total应该是需要支付的金额。修改一下发送出去看看结果。

这里发现果然需要支付的金额变成了自己修改的,再查看一下支付宝付款,因为有些时候购物车里显示修改的金额,但是支付宝里又变成了原来的。

发现修改成功,这次测试到此结束。已上交漏洞盒子。

所以说,世上无难事只怕有心人,只要认真仔细的去找,总能找到的。
最后,因为不会打码所以只能截个大概,要是有泄露的地方麻烦老师们说一声。

用户名金币积分时间理由
白且 0.10 0 2021-05-12 11:11:36 一个受益终生的帖子~~
奖励系统 100.00 0 2021-05-12 11:11:45 投稿满 10 赞奖励
奖励系统 50.00 0 2021-05-09 19:07:25 投稿满 5 赞奖励
yuweijie 0.80 0 2021-05-09 10:10:42 一个受益终生的帖子~~
zz风过无痕 0.10 0 2021-05-09 01:01:12 一个受益终生的帖子~~
Track-聂风 60.00 0 2021-05-08 16:04:11 功夫不负有心人,继续加油

打赏我,让我更有动力~

1 Reply   |  Until 1个月前 | 697 View

zz风过无痕
发表于 1个月前

我以后要多搭几个有支付漏洞的站,天天坐在家里收钱诶嘿嘿嘿~

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者