在线支付漏洞

举报
xcc-2022 发表于 2022/12/31 08:34:56 2022/12/31
【摘要】 知识梳理1. 修改支付状态比如:购买A商品,支付时,bp抓包,观察包中是否有字段a来表明A商品是否被支付,a=1时,代表支付成功,a=2时,支付不成功,此时我们就可以修改a=1;2. 修改支付价格购买商品到支付有三个步骤,订购->确认信息->付款,这三个步骤我们都可以抓包修改商品价格,看是否能成功,若是不成功,我们可以尝试修改运费价格,将运费价格修改为负,以此来抵消商品价格;3. 修改支付接...

知识梳理

1. 修改支付状态

比如:购买A商品,支付时,bp抓包,观察包中是否有字段a来表明A商品是否被支付,a=1时,代表支付成功,a=2时,支付不成功,此时我们就可以修改a=1;

2. 修改支付价格

购买商品到支付有三个步骤,订购->确认信息->付款,这三个步骤我们都可以抓包修改商品价格,看是否能成功,若是不成功,我们可以尝试修改运费价格,将运费价格修改为负,以此来抵消商品价格;

3. 修改支付接口

像微信支付,支付宝支付这样的就是支付接口,不同接口值是不同的,如果设计不当,没有对支付接口不存在这一情况做处理,有可能会支付成功;

4. 修改支付id值

额,假设:a商品价格是50元,id=1,b为200元,id=2,那么我们可以将b的id换成a的,也可以修改a的金额为-50,然后a和b一起提交,看总金额是否是150


靶场地址

http://59.63.200.79:8010/zf/upload/

  • 创建普通账号

image
  • 修改物品数量为负

image

image
  • 支付成功,在线充值页面出现flag


flag{How_hava_money}


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。