实战-支付漏洞

  1. 首先注册一个账户并进行登陆,点击一个商品点击进去

    实战-支付漏洞_第1张图片

  2. 这里为了方便查看数据包,我这边商品的数量选择3,点击立即购买并抓包

    实战-支付漏洞_第2张图片

3.观察数据包,发现有个num传参,正是我选择的数量3,尝试修改为负数-3,这里需要修改两个包

实战-支付漏洞_第3张图片

实战-支付漏洞_第4张图片


 

实战-支付漏洞_第5张图片

实战-支付漏洞_第6张图片

4.点击提交后发现报错了,显示已经付了或者金额不能为0
 

实战-支付漏洞_第7张图片

实战-支付漏洞_第8张图片

5.也就是说数量可以为负数,但是金额不能为0或者0以下,有什么方法可以绕过这个限制吗,其实并不难,既然可以为负数,只是对金额不能为0或者负数做了限制,我们可以尝试拼接法,利用负数加上正数让他的值变得很低,但是又大于0就可以了,这里利用购物车的结算方法,随机加一些在购物车里

实战-支付漏洞_第9张图片

6. 使用上面的方法将其中的几个改为负数
 

实战-支付漏洞_第10张图片

实战-支付漏洞_第11张图片

7.放完包后就到了提交订单的地方,可以发现,金额确实小了很多,合理的搭配的话还可以更低,再次前进可以发现,金额确实是这么多,后面就不支付了,到此就结束了
 

实战-支付漏洞_第12张图片


 

实战-支付漏洞_第13张图片

实战-支付漏洞_第14张图片

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

图片

没看够~?欢迎关注!

免费领取安全学习资料包!实战-支付漏洞_第15张图片

渗透工具

实战-支付漏洞_第16张图片

技术文档、书籍

实战-支付漏洞_第17张图片 实战-支付漏洞_第18张图片

实战-支付漏洞_第19张图片

面试题

帮助你在面试中脱颖而出

实战-支付漏洞_第20张图片

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

实战-支付漏洞_第21张图片 

实战-支付漏洞_第22张图片

应急响应笔记

实战-支付漏洞_第23张图片

学习路线

你可能感兴趣的:(Web漏洞,网络,安全,web安全,网络安全)