【限时投稿】- 某在线教育公司存在支付漏洞(人生第一个漏洞没想到结局是这样的。)

zeref   ·   发表于 2021-07-20 14:32:45   ·   漏洞文章

起因

  1. SRC活动开始后的第一天,本来开开心心的想挖一些简单的漏洞。无意间发现有个站点存在支付漏洞。

过程复现

  1. 在我测试文件上传如果正打算撤退的时候,发现有个地方是卖书的。进去后看到可以下单。就注册了一个账号。 测试一下是否存在支付漏洞。

  1. 点击购买后,跳转到填写订单信息界面。上面显示需要5块运费加88.8块的商品费用。 点击提交订单,抓包,修改num传参为0.00001 后, 跳转到支付页面

3.页面显示金额为5块。 这五块应该是运费的钱。

  1. 然后,咨询了聂风老师后,可以确定这是一个支付漏洞后,我就高高兴兴的去提交这个漏洞。 万万没想到 。这x友善的公司既然说不存在漏洞。

5.然后我就带着疑惑又去那里试了一下。 发现还真不存在了。 既然修复了。 。。。。。。。

哎, 虽然上课的时候聂风老师也说过,会存在一些公司在你提交了漏洞后一边把漏洞修复,然后另一边回复说漏洞不存在。

这篇文章的技术含量不高, 只是想提醒一下各位,这样的事情是存在的。 挖漏洞的话,尽量都以提升自己为目的,巩固学过的知识。遇到问题的话能解决就尽量解决, 做好总结。 想起spider大佬的话:知识面越大你的攻击面就越大, 而你的知识面来源于你每一次的挖漏洞的经验。 总之,我是觉得对于刚学完课程我来说,提交漏洞不是目的,过程学到的东西才是目的。 以上,共勉!

(PS: 说实话,我没想到 社会的险恶会在人生第一个的漏洞, 第一次挖的漏洞就得到了这样的体验。 小难受,T_T ~ )

用户名金币积分时间理由
zeref 1.00 0 2022-02-09 16:04:16 一个受益终生的帖子~~
zeref 0.10 0 2022-02-09 16:04:15 一个受益终生的帖子~~
Track-聂风 18.00 0 2021-07-21 11:11:12 限时投稿额外奖励
Track-聂风 30.00 0 2021-07-21 11:11:57 一个受益终生的帖子~~

打赏我,让我更有动力~

1 条回复   |  直到 2021-7-21 | 1677 次浏览

Track-聂风
发表于 2021-7-21

加油~没事的~

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.