闲来无事想着验证一下支付逻辑漏洞的方法,网上教程一大堆,但是没实践成功,总不确定是不是真正有用的知识。
通常支付逻辑漏洞测试方法概况如下:
1、直接修改商品的价格
2、修改支付状态
3、修改商品数量
4、重复支付
5、越权支付
6、线程并发问题
随手找一个资产(这次真的随便搜了一个商城……)
然后就是随便找一个商品进去查看。
什么手机贴敢卖88元啊,上架这么久,终于有一单销量了,还被0元购了———
点击立即购买,查看数据包请求,由于网站数据没有进行加密,多抓几次包,就能发现数据传输规律了,知道购买过程中的商品id、数量、价格字段,那就可以开始尝试修改了。
随后就是简单的点-点-点,然后改-改-改,最后发送数据包,就能实现0元购了,当然可以尝试改为负数,或者改其他的参数,网站竟然全都没做过滤检测,小破站开发太大意了吧。
然后就跳转支付页面了,当然要我支付0元,果断下单,直接就支付成功了。
查看一下我的订单,已经在我的仓库里躺着了,赶紧跑路……
