看的是月神师傅的视频。

BV1SNyAYGEtF

一,支付漏洞

1.支付金额溢出

int类型最大值为2147483647

超过这个值后,会从0开始计算,那么2147483649=1

利用方式:

1.直接修改充值金额

2.通过计算来获得,比如我买一个物品,购买很多个,让它的总价超过2147483647,那么价格就会重置从0开始计算

2.小数需要注意哪些点?

1.有可能买1.49个商品的时候,变成支付1个的价钱(充值这些可能会遇见。充q币啊,话费啊这种类型,游戏遇到的比较多。)

  1. 0.019=0.01

3.重复购买限购商品

比如一个案列:假如有一个电视的一块钱购买会员的活动,然后有一个二维码,先拿一个手机扫了过后进入待支付页面,再拿几个手机扫码进入待支付页面,然后再把那些订单支付,有可能就会重复购买商品。

或者是:有新人优惠的时候,先登录一个手机,拿到微信待支付界面,然后换一个手机顶号登录,再次进入这个页面的时候可能还能看见新人优惠,再次支付宝支付,如果没有做校验的话,就可能直接拿到两个月的优惠。

还有类似qq会员升级,vip升级svip,也可以卡这个界面。

一切的新用户优惠和礼包都可以测试一下,临时搞的这些活动可以试试。

4.越权替别人支付。

可以用优惠的号,给别人充值。

二,并发漏洞

并发的一些小技巧

有些时候在测试并发的时候,对同一条报文进行并发失败就不去尝试了,其实可以尝试2次,因为网络环境也有可能导致并发失败

一些包里面存在一些时间戳,一些随机参数的时候,可以拦截一堆订单包,然后后面再放行

部分并发的前置条件:

有些并发需要满足一些条件才可以正常并发,比如购买商品,商品价格为2,。

有些并发是你的余额要满足能够购买两次后才能正常进行,那么你的余额必须要为4以上,就可以并发成功了。

三.返回值

有些商家补贴,返回值有一个补贴的字段,可以在创建订单的时候尝试手动添加这个字段来尝试测试。