支付漏洞学习
发布时间
阅读量:
阅读量
支付漏洞学习
首先先了解支付漏洞:
支付漏洞的认识通常源于价格篡改的行为。例如,在支付环节故意调低金额或隐藏费用。少收费的情况会导致企业提供的付费服务实际上是免费使用,并且这种做法必然导致企业损失。
这次带来的是某辅助论坛的邀请码购买处的支付漏洞实战,仅供参考。
首先打开目标:
https://www.XXXX.com/rjyfk_invite-in.html
此处是它购买邀请码的地址:
然后填写好邮箱后点击 立即购买 然后利用burp进行抓包
因为价格是10 我们搜索“10”得到如下结果:
可以看出,在'total_fee=10'中,10表示邀请码的价格。然后我们直接对total_fee进行调整,并尝试将总费用暂时修改为0.1以观察其效果。
可以看到可以观察到应付金额显示为零;我们的修改涉及将数值调整至零点一;那么这个结果为何为零呢;这反映了网站在支付金额计算方面的规定;可以看出在计算时网站取出了'元'后的'角'和'分'两位数值并且这些数值可能是采用截断至零位或四舍五入的方式处理;因此我们可以测试一下是否能够通过生成相应的支付接口来完成此次支付操作
可以看到 0 元无法支付 那么我们试试1元看看是否能成功
可以看到生成的订单是1元的 那么我们来支付看看:
可以看到成功显示了支付页面 那么我们来支付看看
再看邮箱是否成功收到邀请码:
可以看到成功获取邀请码 那么我们来试试注册是否可用
成功登录:
他这边购买VIP的过程使用了相同的接口,并且在这一过程中并未发现明显的安全风险。然而,在这种情况下也存在支付漏洞,并非如宣传中所说的那样安全可靠。通过同样的方法进行抓包和修改就能轻松实现1元购买VIP的目标,并且我的测试到这里已经足够,无需再做进一步的验证。觉得文章内容不够深入,请各位大神不要过于苛责~
全部评论 (0)
还没有任何评论哟~