在线支付漏洞
【摘要】 知识梳理1. 修改支付状态比如:购买A商品,支付时,bp抓包,观察包中是否有字段a来表明A商品是否被支付,a=1时,代表支付成功,a=2时,支付不成功,此时我们就可以修改a=1;2. 修改支付价格购买商品到支付有三个步骤,订购->确认信息->付款,这三个步骤我们都可以抓包修改商品价格,看是否能成功,若是不成功,我们可以尝试修改运费价格,将运费价格修改为负,以此来抵消商品价格;3. 修改支付接...
知识梳理
1. 修改支付状态
比如:购买A商品,支付时,bp抓包,观察包中是否有字段a来表明A商品是否被支付,a=1时,代表支付成功,a=2时,支付不成功,此时我们就可以修改a=1;
2. 修改支付价格
购买商品到支付有三个步骤,订购->确认信息->付款,这三个步骤我们都可以抓包修改商品价格,看是否能成功,若是不成功,我们可以尝试修改运费价格,将运费价格修改为负,以此来抵消商品价格;
3. 修改支付接口
像微信支付,支付宝支付这样的就是支付接口,不同接口值是不同的,如果设计不当,没有对支付接口不存在这一情况做处理,有可能会支付成功;
4. 修改支付id值
额,假设:a商品价格是50元,id=1,b为200元,id=2,那么我们可以将b的id换成a的,也可以修改a的金额为-50,然后a和b一起提交,看总金额是否是150
靶场地址
http://59.63.200.79:8010/zf/upload/
-
创建普通账号
image
-
修改物品数量为负
image
image
-
支付成功,在线充值页面出现flag
flag{How_hava_money}
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)