学习日记-某发卡网授权漏洞

前言

昨天晚上本来先去买套知宇自动发卡系统,结果找了半天硬是没找到很明显可能是不卖了,于是拿出了之前的版本开始搭建搭建完发现没有那个全网对接的那个功能(本人又有轻微的强迫症,心里想这怎么能忍) :shengqi: 百度百度就看到一家卖发卡网授权的网站,至于地址嘛我就不写出来了

页面上面写“免费”2个字挺让我兴奋的,于是开始下载安装一切正常,心里想这还挺良心的 安装完登录的时候提示我未授权,果然满满的都是套路。

 

 

 

购买时分析url参数 发现并没有金额类的参数 看他 Headers 信息是个跳转 继续看 location 的地址 重点来了 发现 location  里面竟然发现了金额 还有订单号 (这个时候开心的飞起!

 

 

/index/index/pay/order_no/202009161508156949/money/888.00/paytype/zfbpc.html

直接888.00 修改 0.01 支付

 

完成竟然跳转了 支付成功 返回了激活码 :meng:

 

解决办法

支付的时候拿订单号效验金额!!!

或者去掉金额参数 取该笔订单的金额发起支付

ps:同时也给那些做支付的朋友提个醒:永远不要相信前端传过来的数据

点赞
  1. Sogou Explorer Windows 10

    谢谢你提供的漏洞,我就是你说的发卡平台程序销售平台客服,我们已经让技术进行修复整理,感谢您漏洞提供,万分感谢

  2. Sogou Explorer Windows 10

    感谢您提供的漏洞,打赏了,没有你提供的我们还不知道问题出在哪里,我们这边技术在处理中,包括插件安装漏洞进行修复,希望贵站可以我们提出更多意见,在此表示感谢。

  3. 头条新闻说道:
    Google Chrome Windows 7

    文章不错支持一下吧

发表评论

电子邮件地址不会被公开。必填项已用 * 标注