某旅游网站存在金额任意修改
1:金额任意修改,这类问题的出现多数是程序员的大意造成的,没有对异常数据进行很好的处理,导致了问题的产生
2:常见的绕过方法有:付款处金额修改,数量修改,改为负数
2:修复方案:
对关键参数进行完整的效验
检测的异常参数,直接报错,停止代码运行
3:对某网站测试](https://nc0.cdn.zkaq.cn/md/10345/43fb1c3799cde204d17a7690e221db64_96775.png)
说实话,这个真的好贵,买不起
挑个便宜的测试
抓包,在底部输入金额368,burp会显示368的数字,经过测试,修改右边的金额,即可实现金额任意修改
4:测一下能不能把金额修改为负数,发现不行
既然不行,那就修改订单数量,当订单数量过大,会使程序崩溃,从而绕过,订单数量直接改成999999999999999999999【总之很多9就是啦】
改成999.,发现报错
那就一个一个侧
修改这个,发现没有绕过
既然没有,在改另一个
也没有,那就是不存在,这就是支付漏洞常见的绕过方法
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-聂风 | 60.00 | 0 | 2021-05-14 14:02:16 | 恭喜同学挖到大公司漏洞一枚 |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
qiancheng
发表于 2021-5-20
同学,打码不严,下次注意
评论列表
加载数据中...
qq414693820
发表于 2021-6-10
?没看懂
评论列表
加载数据中...