社区漏洞之文库支付漏洞以及一个有趣的逻辑漏洞

xiao_yi   ·   发表于 2021-10-24 18:47:36   ·   实战纪实

0x01 前言

之前也有小伙伴挖到了支付漏洞,甚至可以改成负数让自己的钱包变得十分充实,现在进行测试肯定难以从价格入手了,于是乎想看看有没有遗漏的地方,遂有下文……

0x02 经过

  1. 点击转到文库,来到支付页面

  2. 选择一篇未支付的文章进行购买,并进行抓包

  3. 修改category=1

  4. 修改数据包后完成购买

  5. 总结

    遇到这种多参数的支付功能的时候,能耐下心一个一个分析每个参数的作用,说不定能带来很多惊喜…


Tops: 你以为这篇文章结束了?no!no!no!其实下面才是正文开始的地方……

0x03 趣闻

先说一下这里存在的逻辑漏洞危害忽略不计,但是可以恶搞作者,感觉挺好玩的……这里测试的时候就恶搞风哥的文章吧

前提

我这里的测试账号两个,分别的用户id为

  1. xiao_yi 4672
  2. alertf1ag 8371
  1. 先记录下测试前风哥金币的数目

  2. 选择打赏功能进行打赏,金币随你定,(这里测试过如果打赏0.01元是不会扣税的),使用burp抓包

  3. 修改id参数,这里不能打赏自己,所以用ab账号互测

  4. 打赏成功,但是风哥的金币并没有增加,不要问为什么测试只用1分钱,因为我真的没钱,呜呜!还请各位大佬给个赞?

用户名金币积分时间理由
Track-劲夫 40.00 0 2021-11-09 14:02:44 活动奖励
Track-劲夫 80.00 0 2021-11-09 14:02:36 一个受益终生的帖子~~
Track-劲夫 1000.00 0 2021-11-09 14:02:25 挖到漏洞奖励

打赏我,让我更有动力~

2 Reply   |  Until 2个月前 | 501 View

domren
发表于 2个月前

核心成员,恐怖如斯

评论列表

  • 加载数据中...

编写评论内容

sunsky666
发表于 2个月前

核心成员,恐怖如斯

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.