前言

最近一直在挖各大SRC厂商的逻辑漏洞,以前听别人说过有些支付漏洞因为其业务流程的原因,会被厂商忽略,没想到自己竟然也遇到了相同的事情2333,接下来我将详细介绍挖洞过程和忽略原因。

挖洞过程

梅开一度

首先进入某网站,注册一个账号。关于注册方面的逻辑漏洞,似乎前辈们已经挖的渣都不剩了,经过一通测试,只能选择放弃。由于这是一个购买服务类型的网站,结下来要测试的逻辑漏洞当然就是支付漏洞。

我任意输入了一些关键词进行搜索,选择了一个价值7000的商品,点击进入购买。

进入商品后,点击购买,进入购买界面。

点击下单,使用Burp Suite进行抓包

点击收藏 | 0 关注 | 1
登录 后跟帖