介绍
逻辑漏洞是指应用程序、系统或者服务中存在的错误逻辑,它可以被用过全控制、获取未授权的访问权限、窃取敏感信息等行为。在优惠券可遍历领取的情况下,攻击者可以通过枚举优惠券编号或者使用一些自动化工具,实现大量、快速地领取优惠而造成商家巨大的经济损失
测试步骤
打开该小程序:
该小程序是一个购物平台,首页有一处领券中心,
在购物页面可以查看到可以领取一个员工生日券
点击领取直接点击抓包,再放包,可以看到操作成功
那么遍历couponId也就是可以领取不同的券,将数据包发送到Intruder模块设置参数
通过返回用户页面,可以看到通过发包领取到了300+优惠券,包括内部券等等
确实显示了各种各样的优惠券
该文为原创,转载请表明出处,谢谢支持
可关注公众号:htzjthh