逻辑漏洞讲解2
环境准备
操作系统:Windows 2003
网站环境:UPUPW 5.3
使用工具:burpsuite 1.6 beta
漏洞分析
支付验证存在缺陷
漏洞验证利用
1.注册一个新用户test,查看账户余额,截图如下所示:
2.购买商品价格,截图如下所示:
3.提交订单,使用抓包工具对商品数量进行负数修改,原值数量为1,修改为-1,截图如下所示:
4.发送修改后的请求包,由于出现负数导致数据库查询失败,页面出现数据库查询失败错误,界面返回结果如上图所示。
5.查看账户余额,账户余额根据购买商品价格增加。截图如下所示:
免责声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。禁止任何人转载到其他站点,禁止用于任何非法用途。如有任何人凭此做何非法事情,均于笔者无关,特此声明。