动动小手，全场商品 0 元购

只需要动动小手，改个数字，就能实现商品 “0 元购”，你相信么？

这是真实存在的。

在早些年，网上有许多在线商城，不是那种在京东淘宝开设的店铺，而是自己搭建的商城。

既然是自己搭的，那肯定多多少少会有一些漏洞嘛！而一些人就盯上了这些漏洞。

当时有一个漏洞就是，购买商品的时候，商品价格是由前端传给后台服务器的，导致可以通过抓包随意修改商品金额，从而实现 0 元购买商品。

我第一次知道抓包这个东西，就是当初网上看到说，谁谁谁利用某某网站漏洞，用 Fiddler 通过抓包 0 元撸了一台苹果。

当时就觉得，牛逼啊！

我就想我也去下个 Fiddler 玩玩，于是就下了一个，不过当时比较菜，连编程都还没接触，电脑都不太会用，所以更别说抓包了。

现在想想，还好当时比较菜，不然要真干了点啥，那可就太刑了。

当时还看到他们说有专门的线报群，分享一些有漏洞可以撸东西的商城网站，不过我没敢进去，因为当时连线报是啥都不知道。

一个东西就触及到了当时我的两个知识盲区。

现在再回想起来，原来抓包改价格就是这么回事啊。

假设这是一个在线商城，此时，共有四件商品，价格分别为 100,200,300,400。而余额为 1。

按理说，此时购买任意商品，都会提示余额不足，实际上也确实是这样。

让我们用 Charles 抓包看一下。

很简单的请求，请求里可以看到传了一个 id 和 price 字段，对应商品 ID 和商品价格。

返回结果是购买失败。

那么现在我拦截这个请求，把价格改成 0。

弹出购买成功。

再来个骚操作，把价格改为负数，比如 -10000。

余额直接 +10000，这波啊，这波是商家被白嫖了还得打钱给我。

虽然以上例子很简单，但是原理基本就是这样，在以前，有不少人靠这种漏洞来 “0 元购”。

不过现在这种漏洞几乎不存在了，价格这么敏感的东西，不会由前端用户来传递。一般都是前端传个商品 ID，后台再根据 ID 去查询对应商品的价格。

所以有想尝试的小伙伴，就不要想了，而且这是违法的行为，还是要做个守法的好公民。

再说了，就算你利用漏洞，购买成功了。

那发货的时候你总得填手机号和收货地址吧，到时候人家发现你订单实付金额为 0，然后一查，找到你的地址和电话，直接 GG。

毕竟，获得任何东西都是要付出代价的。