支付漏洞
大部分的商户(支付宝、微信、银联)
用户、商家、三方平台
(用户[传参] -> 商家[计算出] ->支付宝 -> 商家 ->用户)
支付宝 给了你一个数据,然后你告诉商家你付了钱
防护方法
加密是有用的(起码可以筛掉一批)
- 加密可能被解密
- 加密也可以复用
- 数据包中的加密是怎么产生(前端决定)
常见的修改点
- 改价格
- 改数量越权支付
- 改运费
- 优惠券叠加
- 改订单状态
靶场实操
旧靶场

先注册个账号,然后寻找漏洞点

发现这里可以使购买数量为负数

提交错误??/

嘿嘿,发现钱包已经富裕了!!!
新靶场

同样先注册账号
找到两个衣服价钱一样的

这样总价最后为0元

购买成功

获得flag
Comments NOTHING