社区漏洞之文库支付漏洞以及一个有趣的逻辑漏洞
0x01 前言
之前也有小伙伴挖到了支付漏洞,甚至可以改成负数让自己的钱包变得十分充实,现在进行测试肯定难以从价格入手了,于是乎想看看有没有遗漏的地方,遂有下文……
0x02 经过
点击转到文库,来到支付页面
选择一篇未支付的文章进行购买,并进行抓包
修改
category=1
修改数据包后完成购买
总结
遇到这种多参数的支付功能的时候,能耐下心一个一个分析每个参数的作用,说不定能带来很多惊喜…
Tops: 你以为这篇文章结束了?no!no!no!其实下面才是正文开始的地方……
0x03 趣闻
先说一下这里存在的逻辑漏洞危害忽略不计,但是可以恶搞作者,感觉挺好玩的……这里测试的时候就恶搞风哥的文章吧
前提
我这里的测试账号两个,分别的用户id为
xiao_yi 4672alertf1ag 8371
先记录下测试前风哥金币的数目
选择打赏功能进行打赏,金币随你定,(这里测试过如果打赏0.01元是不会扣税的),使用burp抓包
修改id参数,这里不能打赏自己,所以用ab账号互测
打赏成功,但是风哥的金币并没有增加,不要问为什么测试只用1分钱,因为我真的没钱,呜呜!还请各位大佬给个赞?
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| mrcat | 8.00 | 0 | 2022-04-21 10:10:04 | 一个受益终生的帖子~~ |
| mrcat | 4.00 | 0 | 2022-04-21 10:10:03 | 一个受益终生的帖子~~ |
| yangqiding | 4.00 | 0 | 2022-03-07 14:02:25 | 一个受益终生的帖子~~ |
| Track-劲夫 | 40.00 | 0 | 2021-11-09 14:02:44 | 活动奖励 |
| Track-劲夫 | 80.00 | 0 | 2021-11-09 14:02:36 | 一个受益终生的帖子~~ |
| Track-劲夫 | 1000.00 | 0 | 2021-11-09 14:02:25 | 挖到漏洞奖励 |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
domren
发表于 2021-11-10
核心成员,恐怖如斯
评论列表
加载数据中...
sunsky666
发表于 2021-11-10
核心成员,恐怖如斯
评论列表
加载数据中...