某旅游网站存在金额任意修改

蛋蛋超人   ·   发表于 2021-05-12 01:34:34   ·   实战纪实

1:金额任意修改,这类问题的出现多数是程序员的大意造成的,没有对异常数据进行很好的处理,导致了问题的产生

2:常见的绕过方法有:付款处金额修改,数量修改,改为负数

2:修复方案:
对关键参数进行完整的效验
检测的异常参数,直接报错,停止代码运行

3:对某网站测试![](https://nc0.cdn.zkaq.cn/md/10345/9a545c35f2c9ca6fd6a1ab511ee85638_92984.png)![](https://nc0.cdn.zkaq.cn/md/10345/d5851a4c60daec291e932b7299dfd9b5_50319.png)![](https://nc0.cdn.zkaq.cn/md/10345/77a0068c6fa4044775fb140ffdfaa646_90926.png)说实话,这个真的好贵,买不起
挑个便宜的测试
抓包,在底部输入金额368,burp会显示368的数字,经过测试,修改右边的金额,即可实现金额任意修改

4:测一下能不能把金额修改为负数,发现不行
既然不行,那就修改订单数量,当订单数量过大,会使程序崩溃,从而绕过,订单数量直接改成999999999999999999999【总之很多9就是啦】改成999.,发现报错那就一个一个侧修改这个,发现没有绕过既然没有,在改另一个也没有,那就是不存在,这就是支付漏洞常见的绕过方法

用户名金币积分时间理由
Track-聂风 60.00 0 2021-05-14 14:02:16 恭喜同学挖到大公司漏洞一枚

打赏我,让我更有动力~

2 Reply   |  Until 7个月前 | 493 View

qiancheng
发表于 8个月前

同学,打码不严,下次注意

评论列表

  • 加载数据中...

编写评论内容

qq414693820
发表于 7个月前

?没看懂

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.