统计
  • 建站日期:2022-01-17
  • 文章总数:5334 篇
  • 评论总数:97482条
  • 分类总数:43 个
  • 最后更新:今天

购买支付逻辑漏洞-数据篡改

作者头像
首页 综合教程 正文
广告
广告
广告
广告

前置知识点

1、熟悉常见支付流程

选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

2、熟悉那些数据篡改

商品编号ID,购买价格,购买数量,支付方式,订单号,支付状态等

3、熟悉那些修改方式

替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等

安全修复

1、金额以数据库定义为准

2、购买数量限制为正整数

3、优惠券固定使用后删除

4、订单生成后检测对应值

案例演示:damicms--数据篡改-价格+数量+产品

搭建好damicms网站,注册账号登录,来到首页产品展示——大米测试产品

image.png

点击购买,抓包

image.png

尝试修改——价格

image.png

修改为6,也可以修改为0,修改成功

image.png

尝试修改——数量

image.png

数量修改为0.0001,也可以更改为负数,修改成功

image.png

尝试修改产品——产品替换

抓取大米测试产品(6000元)的包,发送到repeater模块

image.png

选择购买测试产品(4000元),抓包

image.png

抓到包之后,将除了价格以外的其他参数全部替换为大米测试产品的参数

image.png

去repeater模块复制替换完成

image.png

放包,成功使用4000元的测试产品价格购买到了价值6000元的大米测试产品

image.png

版权说明
文章采用: 《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
版权声明:本站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系客服并出示版权证明以便删除!
PHP对接微信APP支付教程/PHP源码怎么对接微信支付?
« 上一篇 04-20
Suricata IDS入侵检测系统
下一篇 » 04-20

发表评论

  • 泡泡
  • 阿呆
  • 阿鲁
  • 蛆音娘
    没有更多评论了