业务逻辑漏洞1
看的是月神师傅的视频。
BV1SNyAYGEtF
一,支付漏洞
1.支付金额溢出
int类型最大值为2147483647
超过这个值后,会从0开始计算,那么2147483649=1
利用方式:
1.直接修改充值金额
2.通过计算来获得,比如我买一个物品,购买很多个,让它的总价超过2147483647,那么价格就会重置从0开始计算
2.小数需要注意哪些点?
1.有可能买1.49个商品的时候,变成支付1个的价钱(充值这些可能会遇见。充q币啊,话费啊这种类型,游戏遇到的比较多。)
- 0.019=0.01
3.重复购买限购商品
比如一个案列:假如有一个电视的一块钱购买会员的活动,然后有一个二维码,先拿一个手机扫了过后进入待支付页面,再拿几个手机扫码进入待支付页面,然后再把那些订单支付,有可能就会重复购买商品。
或者是:有新人优惠的时候,先登录一个手机,拿到微信待支付界面,然后换一个手机顶号登录,再次进入这个页面的时候可能还能看见新人优惠,再次支付宝支付,如果没有做校验的话,就可能直接拿到两个月的优惠。
还有类似qq会员升级,vip升级svip,也可以卡这个界面。
一切的新用户优惠和礼包都可以测试一下,临时搞的这些活动可以试试。
4.越权替别人支付。
可以用优惠的号,给别人充值。
二,并发漏洞
并发的一些小技巧
有些时候在测试并发的时候,对同一条报文进行并发失败就不去尝试了,其实可以尝试2次,因为网络环境也有可能导致并发失败
一些包里面存在一些时间戳,一些随机参数的时候,可以拦截一堆订单包,然后后面再放行
部分并发的前置条件:
有些并发需要满足一些条件才可以正常并发,比如购买商品,商品价格为2,。
有些并发是你的余额要满足能够购买两次后才能正常进行,那么你的余额必须要为4以上,就可以并发成功了。
三.返回值
有些商家补贴,返回值有一个补贴的字段,可以在创建订单的时候尝试手动添加这个字段来尝试测试。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 yawataa的安全学习博客!